Gritzalis D., Mitrou N., Skoularidou V. - CIS -Information Security And ...

Κοινωνία της Πληροφορίας Α.Ε. 

e-Government Forum 

Ομάδα Εργασίας για την Προστασία των Κρίσιμων 

Πληροφοριακών και Επικοινωνιακών Υποδομών της 

Δημόσιας Διοίκησης (CICIP) 

Προστασία Κρίσιμων Πληροφοριακών και 

Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 

Εισηγητής Ομάδας Εργασίας: Αναπλ. Καθ. Δημήτρης Γκρίτζαλης, 

Τμήμα Πληροφορικής,, Οικονομικό Πανεπιστήμιο Αθηνών 

Προστασία Κρίσιμων 

Πληροφοριακών και Επικοινωνιακών Υποδομών 

της Δημόσιας Διοίκησης: 

Στρατηγικός Σχεδιασμός 

Επιστημονική Επιμέλεια: 

Δημήτρης Γκρίτζαλης, Οικονομικό Πανεπιστήμιο Αθηνών 

Νίκος Μήτρου, Εθνικό Μετσόβιο Πολυτεχνείο 

Βικτωρία Σκουλαρίδου, Υπουργείο Εσωτερικών 

eGovForum-CICIP-D1-v2.3.1/29.09.2008 

Σεπτέμβρης 2008


Ομάδα Εργασίας CICIP 

Σύνθεση Ομάδας Εργασίας 

Συντονιστής: 

Εισηγητής: 

Μέλη (αλφαβητικά): 

Σπύρος Καρούσος 


Δημήτρης Γκρίτζαλης 

Αναπληρωτής Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών 

Αλέξανδρος Ζαχαρής 

Εμπορικός Διευθυντής SYNET, Eκπρόσωπος ΣΕΠΕ 

Μαριάνθη Θεοχαρίδου 

Ερευνήτρια, Οικονομικό Πανεπιστήμιο Αθηνών 

Παναγιώτης Κοτζανικολάου 

Ειδικός Επιστήμονας, Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) 

Δημήτριος Λέκκας 

Λέκτορας, Πανεπιστήμιο Αιγαίου 

Νίκος Μήτρου 

Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο 

Δέσποινα Πολέμη 

Επίκουρη Καθηγήτρια, Πανεπιστήμιο Πειραιώς 

Ιωάννα Σαμπράκου 

Μηχανικός Η/Υ και Πληροφορικής, Σύμβουλος Υπουργού Μεταφορών και Ε- 

πικοινωνιών 

Βικτωρία Σκουλαρίδου 

Υπαστυνόμος Α’ (Ειδικών Καθηκόντων) Πληροφορικής, Ελληνική Αστυνομία, 

Υπουργείο Εσωτερικών 

Βασίλης Τσούμας 

Senior Manager, Ernst και Young Α.Ε. 

Γραμματεία: 

Αγγελική Κλάδη 


Επιτροπή Παρακολούθησης και Παραλαβής Έργου 

Πρόεδρος: 

Μέλη: 

Στέφανος Ξαρχουλάκος 


Ηλίας Κοντάκος 


Θεόδωρος Σαμπατακάκης 


Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων 

Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 

2



“ Α ι τ ι μ α ί μ ε γ ά λ α ι α ν α π ο κ τ ε ί ν ε ι τ ι ς ο υ κ λ έ π τ ε ι ν , α λ λ ά τ ύ ρ α ν ν ο ν ” 

Aριστοτέλης 

Περίληψη 1 : 

Η λειτουργία της σύγχρονης Δημόσιας Διοίκησης εξαρτάται, σε ολοένα και μεγαλύτερο 

βαθμό, από την εύρυθμη λειτουργία των πληροφοριακών και επικοινωνιακών 

υποδομών της. Οι υποδομές αυτές είναι εκτεθειμένες σε σωρεία απειλών, οι ο- 

ποίες μπορεί να προκαλέσουν την υποβάθμιση ή τη διακοπή της λειτουργίας τους, 

πράγμα που θα προκαλέσει, με τη σειρά του, την υποβάθμιση ή τη διακοπή των 

παρεχόμενων υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για την αποφυγή του ενδεχομένου 

αυτού η σύγχρονη Δημόσια Διοίκηση, διεθνώς, έχει καταφύγει στη σχεδίαση, 

ανάπτυξη και θέση σε λειτουργία σειράς οργανωτικών και διοικητικών σχημάτων, 

τα οποία αποβλέπουν στην αντιμετώπιση των σχετικών απειλών. Στο παρόν 

παραδοτέο προτείνεται ένα τέτοιο σχήμα, με στόχο την προστασία των κρίσιμων 

πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας Διοίκησης. 

Για τη σχεδίαση του σχήματος αυτού λήφθηκε υπόψη τόσο η σχετική διεθνής 

εμπειρία - η οποία περιγράφεται συνοπτικά και συστηματικά στο κείμενο - όσο 

και ορισμένες υπάρχουσες και αναπτυσσόμενες κρίσιμες υπηρεσίες ηλεκτρονικής 

διακυβέρνησης στην Ελλάδα (πχ. Σύζευξις, ΤaxisNET, Κέντρα Εξυπηρέτησης Πολιτών, 

Κέντρα Δεδομένων ΚτΠ Α.Ε κλπ.). Για τη συστηματικότερη μελέτη του ζητηματος 

διοργανώθηκε ειδική ημερίδα διαβούλευσης με ενδιαφερόμενα μέρη, στα 

οποία δόθηκε η ευκαιρία να διατυπώσουν τις σχετικές θέσεις και προτάσεις τους. 

Οι απόψεις αυτές καταγράφονται στο παρόν παραδοτέο. Το προτεινόμενο σχήμα 

περιγράφεται στο παραδοτέο αναλυτικά, πλαισιούμενο από σειρά εναλλακτικών 

λύσεων που αφορούν τη δομή του, μια από τις οποίες θα μπορούσε να υιοθετηθεί 

από την αρμόδια πολιτική ηγεσία για την έγκαιρη και αποτελεσματική προστασία 

των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας 

Διοίκησης. Στο παραδοτέο περιλαμβάνοναι, επίσης, για λόγους πληρότητας, 

τρία ενδεικτικά σενάριο αξιοποίησης του προτεινόμενου φορέα σε περιπτώσεις 

μείζονων κρίσεων. 

Λέξεις κλειδιά: Κρίσιμες Υποδομές, Προστασία Κρίσιμων Υποδομών, Πληροφοριακές Υποδομές, 

Επικοινωνιακές Υποδομές, Ασφάλεια Πληροφοριών, Ασφάλεια Υπολογιστών, Α- 

σφάλεια Δικτύων, Ασφάλεια Πληροφοριακών Συστημάτων, Ηλεκτρονική Διακυβέρνηση. 

Ευχαριστίες: 

Τα μέλη της ΟΕ εκφράζουμε τις θερμές ευχαριστίες μας στη Συντονιστική Επιτροπή 

του e-Government Forum και στο Διοικητικό Συμβούλιο της ΚτΠ Α.Ε. για την 

ανάθεση του παρόντος έργου. Επίσης, ευχαριστούμε ιδιαίτερα τους (αλφαβητικά) 

κκ. Κώστα Βασιλείου (ΚτΠ), Στέφανο Ξαρχουλάκο (ΚτΠ), Στάθη Παναγιωτόπουλο 

(ΥΠΟΙΚ), Κώστα Τζοάννη (ΚτΠ) και Πέτρο Τσώνη (ΚτΠ), καθώς και όλους 

τους συναδέλφους που συμμετείχαν στη διαδικασία διαβούλευσης. 

1 Η επιτελική σύνοψη του παραδοτέου παρατίθεται (σελ. 10-24) ειδικά για τους αναγνώστες που ενδιαφέρονται 

για μια μεστή και συνοπτική ενημέρωση για το περιεχόμενο, τα συμπεράσματα και τις προτάσεις που 

περιλαμβάνονται στο παραδοτέο, χωρίς τεχνικές λεπτομέρειες. 



3



Τα αναφερόμενα στο παρόν πόνημα απηχούν, αυστηρά και μόνον, τις προσωπικές απόψεις των 

μελών της Ομάδας Εργασίας. Δεν εκφράζουν, κατ’ ανάγκην, ούτε δεσμεύουν με οποιονδήποτε τρόπο 

τη Συντονιστική Επιτροπή του eGovernment Forum, το Διοικητικό Συμβούλιο της Κοινωνίας της 

Πληροφορίας Α.Ε. ή οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο. 

Η ακρίβεια των περιεχομένων του κειμένου ελέγχθηκε με βάση τους διαθέσιμους πόρους και τα 

διαθέσιμα μέσα κατά το χρόνο της συγγραφής του. Παραταύτα, τυχόν σποραδικές αποκλίσεις από τα 

κατά περίπτωση ισχύοντα δεν μπορούν να αποκλεισθούν και, εάν υπάρχουν, βαρύνουν αποκλειστικά 

και μόνο τα μέλη της Ομάδας Εργασίας. 



4



ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 

ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ ................................................................................................................... 10 

1. ΕΙΣΑΓΩΓΗ ΚΑΙ ΣΤΟΧΟΙ ΤΟΥ ΕΡΓΟΥ................................................................................. 26 

2. ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ΚΑΙ ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ ....................................... 28 

2.1 ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ..................................................................................................................28 

2.2 ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ................................................................................................................................29 

3. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ 

ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ ................................. 36 

3.1 ΕΙΣΑΓΩΓΗ................................................................................................................................................36 

3.2 ΚΡΙΣΙΜΕΣ ΥΠΟΔΟΜΕΣ ΚΑΙ ΠΡΟΣΕΓΓΙΣΕΙΣ CICIP .....................................................................................36 

3.2.1 Κρίσιμες Υποδομές.......................................................................................................................36 

3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP............................................................................36 

3.2.3 Προσεγγίσεις CIP.........................................................................................................................37 

3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων ...........................................................................................38 

3.3 ΚΑΤΑΓΡΑΦΗ ΟΡΓΑΝΩΤΙΚΩΝ ΣΧΗΜΑΤΩΝ ................................................................................................38 

3.3.1 Εισαγωγή .....................................................................................................................................38 

3.3.2 Ευρώπη........................................................................................................................................39 

3.3.3 Χώρες εκτός Ευρώπης..................................................................................................................58 

3.3.4 Άλλες Χώρες.................................................................................................................................74 

3.3.5 Διεθνείς Οργανισμοί.....................................................................................................................74 

3.3.6 Διεθνείς Φορείς............................................................................................................................79 

3.3.7 Άλλοι Διεθνείς Οργανισμοί...........................................................................................................80 

3.4 ΑΠΟΤΙΜΗΣΗ ΚΑΙ ΣΥΓΚΡΙΣΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ .......................................................................................80 

3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP ..........................................................80 

3.5 ΠΡΟΤΕΙΝΟΜΕΝΟ ΠΛΑΙΣΙΟ CICIP ............................................................................................................81 

3.5.1 Προτεινόμενο Μοντέλο συνεργασίας............................................................................................81 

4. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΚΑΙ ΕΠΟΠΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ 

ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗΝ ΕΛΛΑΔΑ ...................................................... 86 

4.1 ΕΙΣΑΓΩΓΗ................................................................................................................................................86 

4.2 ΕΛΛΗΝΙΚΟΙ ΕΠΟΠΤΙΚΟΙ/ΚΑΝΟΝΙΣΤΙΚΟΙ/ΔΙΩΚΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ................................................86 

4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας................................................................................................86 

4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ.............................................................................86 

4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ.......................................................86 

4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ ....................................................................87 

4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών ...................................................................................87 

4.2.6 Τράπεζα Ελλάδος .........................................................................................................................88 

4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών...................................................88 

4.3 ΡΥΘΜΙΣΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ...........................................................................................................89 

4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) ................................................89 

4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ).................................................................91 

4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)...................................................93 

4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας 

(GRNET-CERT)...........................................................................................................................95 

4.3.5 European Network Information Security Agency (ENISA)..........................................................95 

4.4 ΕΛΛΗΝΙΚΟΙ ΦΟΡΕΙΣ/ΙΣΤΟΧΩΡΟΙ ΕΝΗΜΕΡΩΣΗΣ .......................................................................................98 

4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ) ............................................99 

4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας.........................................99 

4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus ....................................................100 

4.4.4 SafeLine.....................................................................................................................................100 

4.4.5 DART (Digital Awareness and Response to Threats)................................................................100 

4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α)....................................................................................101 

4.4.7 Ινστιτούτο Ερευνών / Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιαοανατολικής 

Ευρώπης (ΙΝΑ) ..........................................................................................................................102 

4.5 ΣΥΓΚΕΝΤΡΩΤΙΚΗ ΠΑΡΟΥΣΙΑΣΗ ΦΟΡΕΩΝ ................................................................................................103 



5



5. ΚΡΙΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΑΚΕΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΕΣ ΥΠΟΔΟΜΕΣ ΤΗΣ 

ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ............................................................................. 107 

5.1 ΑΞΙΟΛΟΓΗΣΗ ΚΡΙΣΙΜΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΤΗΣ ΔΗΜΟΣΙΑΣ 

ΔΙΟΙΚΗΣΗΣ ............................................................................................................................................107 

5.1.1 Σκοπός.......................................................................................................................................107 

5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας...........................................................107 

5.1.3 Κριτήρια επικινδυνότητας ..........................................................................................................108 

5.1.4 Ταξινόμηση και αποτίμηση επιπτώσεων σε ΠΕΥ ΔΔ ..................................................................110 

5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ ............................................................................112 

5.2 ΔΙΚΤΥΟ ‘ΣΥΖΕΥΞΙΣ’..............................................................................................................................117 

5.2.1 Στοιχεία ταυτότητας έργου .........................................................................................................117 

5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου ......................................................................................................119 

5.2.3 Παρεχόμενες υπηρεσίες..............................................................................................................121 

5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ......................................................................................121 

5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου...............................................................................................122 

5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής.............................................123 

5.2.7 Ένταξη στις εθνικές ΠΕY ...........................................................................................................123 

5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής....................................................124 

5.2.9 Συμπεράσματα............................................................................................................................126 

5.3 TAXISNET............................................................................................................................................127 

5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας..................................................127 

5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης ......................................................................................129 

5.3.3 TAXISnet....................................................................................................................................132 

5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet .................................................................................135 

5.3.5 Υφιστάμενο επίπεδο ασφάλειας ..................................................................................................140 

5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις................................................................142 

5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής......................................142 


5.3.9 Συμπεράσματα............................................................................................................................145 

5.4 DATA CENTERS ΚΤΠ ΑΕ ......................................................................................................................146 

5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης.............147 

5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού ........................................153 

5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου 

(ΥΛΠΗΣΔΕΔ) ............................................................................................................................158 

5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Υγείας, Δημόσιας 

Υγιεινής και Κοιvωνικής Πρόνοιας............................................................................................162 

5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Εμπορίου και 

Ανωνύμων Εταιριών ..................................................................................................................167 

5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή Πολεοδομίας 

...................................................................................................................................................173 

5.4.7 ΡΑΠΤΑΡΧΗΣ ............................................................................................................................180 

5.4.8 Εθνική Πύλη ΕΡΜΗΣ................................................................................................................183 

5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων 

...................................................................................................................................................195 


5.4.11 Πολεοδομία ΙΙ ............................................................................................................................198 



5.4.14 Συμπεράσματα............................................................................................................................205 

5.5 ΟΠΣ ΚΕΠ.............................................................................................................................................206 

5.5.1 Στοιχεία ταυτότητας έργου .........................................................................................................206 


5.5.3 Παρεχόμενες Υπηρεσίες .............................................................................................................209 

5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ......................................................................................210 

5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου...............................................................................................213 



5.5.8 Συμπεράσματα............................................................................................................................218 



6



6. ΠΡΟΤΕΙΝΟΜΕΝΟ ΟΡΓΑΝΩΤΙΚΟ ΣΧΗΜΑ....................................................................... 221 

6.1 ΠΕΡΙΓΡΑΦΗ ...........................................................................................................................................221 

6.1.1 Μορφές οργάνωσης....................................................................................................................221 

6.1.2 Οργανωτικό Σχήμα ....................................................................................................................223 

6.2 ΕΠΙΜΕΡΟΥΣ ΟΜΑΔΕΣ.............................................................................................................................226 

6.2.1 Συντονιστική Επιτροπή...............................................................................................................226 

6.2.2 Ομάδα Ελέγχου ..........................................................................................................................227 

6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων ....................................................................................230 

6.2.4 Ομάδα Διαχείρισης Κρίσεων......................................................................................................231 

6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών.................................................................232 

6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη...................................................................................233 

6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών...............................................................................235 

6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation)............................................................236 

6.2.9 Αλλες ομάδες..............................................................................................................................237 

6.3 ΕΝΔΕΙΚΤΙΚΑ ΣΕΝΑΡΙΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΚΡΙΣΙΜΑ ΠΛΗΡΟΦΟΡΙΑΚΑ & ΕΠΙΚΟΙΝΩΝΙΑΚΑ 

ΣΥΣΤΗΜΑΤΑ ΤΗΣ ΔΔ.............................................................................................................................239 

6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ ....239 

6.3.2 Σενάριο 2 - Άγνωστου τύπου Επίθεση στο Υπουργείο Χ .............................................................241 

6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος) ..............................244 

7. ΔΙΑΒΟΥΛΕΥΣΗ........................................................................................................................ 248 

7.1 ΕΙΣΑΓΩΓΗ – ΑΝΑΓΚΗ ΓΙΑ ΔΙΑΒΟΥΛΕΥΣΗ...............................................................................................248 

7.2 ΠΡΩΤΟΒΟΥΛΙΕΣ ΔΙΑΒΟΥΛΕΥΣΗΣ...........................................................................................................248 

7.3 ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ – ΣΥΝΟΠΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ..............................................................................249 

7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1...................................................250 



7.4 ΗΜΕΡΙΔΑ ΔΙΑΒΟΥΛΕΥΣΗΣ .....................................................................................................................253 

7.4.1 Σκοπός και διάρθρωση ..............................................................................................................253 

7.4.2 Επί μέρους θέματα συζήτησης ...................................................................................................253 

7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα .................................................................................254 

8. ΣΥΜΠΕΡΑΣΜΑΤΑ - ΠΡΟΤΑΣΕΙΣ ....................................................................................... 257 

8.1 ΚΩΔΙΚΟΠΟΙΗΣΗ ΣΥΜΠΕΡΑΣΜΑΤΩΝ ΚΑΙ ΠΡΟΤΑΣΕΩΝ.............................................................................257 

8.2 ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΑΡΕΜΒΑΣΕΙΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΚΡΙΣΙΜΩΝ ΠΕΥ ΤΗΣ ΔΔ ..............................259 

ΒΙΒΛΙΟΓΡΑΦΙΑ .............................................................................................................................. 261 

ΑΚΡΩΝΥΜΙΑ .................................................................................................................................. 266 

ΠΑΡΑΡΤΗΜΑ Α: ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ .................................................................................... 275 

ΠΑΡΑΡΤΗΜΑ Β: ΠΡΟΓΡΑΜΜΑ ΗΜΕΡΙΔΑΣ .......................................................................... 294 



7



ΣΧΗΜΑΤΑ 

Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07] .............................................................29 

Σχήμα 2: Μέθοδος εργασίας O.E. CICIP.............................................................................................34 

Σχήμα 3: Πυλώνες CICIP [Sut-07].......................................................................................................37 

Σχήμα 4: Αρμοδιότητες BMI [BSI-05b] ..............................................................................................41 

Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b].......................................................42 

Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b]..........................43 

Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP..................................................................................66 

Σχήμα 8: European Unio - From PASR to the FP7 Theme «Security» (Πηγή: Information Day on 

Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)........................................78 

Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: Information Day on Critical 

Infrastructure Protection Joint Call, Brussels, 27 September 2007).....................................................79 

Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07]....................................................................82 

Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07]..................................................................82 

Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07] ....................................................83 

Σχήμα 13: Δομή CCB [Sut-07] ............................................................................................................83 

Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07]............................................................................84 

Σχήμα 15: Σύγκριση CCB και OCB [Sut-07].......................................................................................84 

Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας..............................................................................89 

Σχήμα 17: Αρμοδιότητες ENISA .........................................................................................................97 

Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι 

αναφερόμενες τιμές είναι ενδεικτικές) ...............................................................................................111 

Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική 

διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές)...............................112 

Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’...........................................................................120 

Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet........................................................................137 

Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet..............................................................138 

Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης 

(Πηγή: Μελέτη Εφαρμογής Αναδόχου) .............................................................................................149 

Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)................150 

Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη 

Εφαρμογής Αναδόχου).......................................................................................................................155 

Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού 

περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ......................................................................159 

Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου)...........169 

Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...................174 

Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου).....................................185 

Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου)....................................186 

Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου)............194 

Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή: 

Μελέτη Εφαρμογής Αναδόχου) .........................................................................................................196 

Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...................................199 

Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...........................200 

Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)............207 

Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα.....................................................................................224 

Σχήμα 38: Διασύνδεση με άλλους φορείς ..........................................................................................225 

Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου.......................................................................................229 

Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2.............................................................................243 

Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3.............................................................................246 



8



ΠΙΝΑΚΕΣ 

Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP ....................................................................80 

Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP ....................................................................81 

Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07] .............................................82 

Πίνακας 4: Στόχοι ENISA....................................................................................................................97 

Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί Φορείς Ασφάλειας....................................................................104 

Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα...............................................105 

Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων.....108 

Πίνακας 8: Αποτίμηση επιπτώσεων [NCIAP-04] ..............................................................................110 

Πίνακας 9: Κριτήρια επιλογής Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της 

Δημόσιας Διοίκησης (ΠΕΥ ΔΔ).........................................................................................................114 

Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας 

Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές)....................................................................................................116 

Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής ..............................................................125 

Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ ..........................................................130 

Πίνακας 13: Ταυτότητα έργου TAXISnet..........................................................................................132 

Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης..........................................139 

Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής ..............................................................142 

Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet.............................144 

Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ ....................................................................................146 

Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε.............................................................147 

Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης...148 

Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογ/μός Τουρισμού και Παρατηρητήριο Τουρισμού....153 

Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ.........................................................................159 

Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας ........163 

Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E...............................................................168 

Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας ......................................................................174 

Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ...................................................................................180 

Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ.......................................................................184 

Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων....196 

Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ ..........................................................................198 

Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών..204 

Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ .........................................................................................206 

Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών..217 



9



ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 

Εισαγωγή και οριοθέτηση έργου 

Η ραγδαία διείσδυση των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη Δημόσια Διοίκηση 

(ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων πληροφοριακών συστημάτων και της διάχυσης 

και συνδυαστικής αξιοποίησης των ευρυζωνικών επικοινωνιακών υποδομών, επέφερε σημαντικές 

και πολλαπλές διαφοροποιήσεις στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (e-Government 

services). Μια από τις βασικές διαφοροποιήσεις είναι η μετατόπιση του κέντρου βάρους των ζητημάτων 

Ασφάλειας στις ΤΠΕ από την Ασφάλεια Πληροφοριακών Συστημάτων (ΠΣ) στην Προστασία 

Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών 2 . 

Στις τρέχουσες συνθήκες,, το διακύβευμα της προστασίας τείνει να μην είναι μόνον - ή κυρίως - τα 

Ολοκληρωμενα Πληροφοριακά Συστήματα, αλλά πρωτίστως οι Κρίσιμες Πληροφοριακές και Επικοινωνιακές 

Υποδομές (ΠΕΥ). Αυτό ισχύει γιατί μέσω των υποδομών αυτών καθίσταται δυνατή - 

αλλά και από αυτές εξαρτάται σε μεγάλο βαθμό - η λειτουργία των πληροφοριακών συστημάτων της 

ΔΔ, καθώς και η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για να επιτευχθεί η αναγκαία 

προστασία των κρίσιμων ΠΕΥ της ΔΔ απαιτείται έγκαιρη, μεθοδική και συστηματική εργασία των 

αρμόδιων φορέων της Πολιτείας, σε συνεργασία με τα ενδιαφερόμενα μέρη, όπως οι πανεπιστημιακοί 

και ερευνητικοί φορείς που δραστηριοποιούνται στη γνωστική αυτή περιοχή, οι επιχειρήσεις του 

κλάδου των ΤΠΕ, αλλά και οι εκπρόσωποι των εργαζομένων και της κοινωνίας των πολιτών. 

Οι αναγκαίες πρωτοβουλίες δεν πρέπει να περιορίζονται μόνον - ούτε κυρίως - στην ταχεία και αποτελεσματική 

επίλυση των όποιων μείζονων προβλημάτων τυχόν εμφανιστούν, αλλά πολύ περισσότερο, 

στην προληπτική αντιμετώπιση και την αποφυγή των προβλημάτων αυτών. Ειδικά σε χώρες όπως 

η Ελλάδα, όπου η εφαρμογή των ΤΠΕ έχει σημαντικά περιθώρια περαιτέρω βελτίωσης, αλλά και η ε- 

μπιστοσύνη των πολιτών στη ΔΔ είναι ακόμη σχετικά περιορισμένη, η ασφαλής και ποιοτική παροχή 

υπηρεσιών ηλεκτρονικής διακυβέρνησης αποτελεί μείζονα στόχο των εμπλεκομένων επιστημόνων 

και τεχνικών, αλλά και βασικό μέσο για τη σταδιακή καταξίωση της ΔΔ. 

Η δυνατότητα προληπτικής αντιμετώπισης των απειλών που αντιμετωπίζουν οι ΠΕΥ της ΔΔ προϋποθέτει 

οργάνωση, σχεδιασμό, ενημέρωση, συνεργασία και διαρκή εξάσκηση. Για να υπάρξει πραγματική 

δυνατότητα πρόληψης χρειάζεται αξιόλογη επένδυση σε ανθρώπινους και υλικούς πόρους, Η ε- 

πένδυση αυτή, που πρωτίστως αποτελεί στόχο και καθήκον της ΔΔ έναντι των πολιτών, μπορεί να α- 

ποσβεσθεί γρήγορα μέσω του πολύ σημαντικού οικονομικού οφέλους που προκύπτει από την αποφυγή 

μείζονων προβλημάτων στη λειτουργία των ΠΕΥ της ΔΔ 3 . 

2 

3 

Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, 

υπηρεσιών και αγαθών, για τη λειτουργία της ΔΔ, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών. 

Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, διακοπή ή δυσλειτουργία 

έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της ΔΔ ή/και της 

Οικονομίας. 

Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών, υπηρεσιών επικοινωνίας 

ή άλλων ηλεκτρονικών υπηρεσιών. 

Κρίσιμη ΠΕΥ (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό σύστημα που 

είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών. 

Προστασία Κρίσιμης ΠΕΥ (Critical Information and Communication Infrastructure Protection): Ενέργειες των κατόχων, 

κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών 

αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, 

καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα. 

Σε περιπτώσεις επιτυχών προληπτικών δράσεων συμβαίνει το εξής φαινόμενο. Όσο πιο αποτελεσματική είναι η προστασία 

ενός ΠΣ, τόσο λιγότερα περιστατικά ανασφάλειας συμβαίνουν. Όσο λιγότερα περιστατικά συμβαίνουν, τόσο λιγότερη 

συζήτηση γίνεται σε θέματα ασφάλειας. Το γεγονός αυτό συχνά υποβιβάζει την ασφάλεια στην agenda της κοινής 

γνώμης, αλλά και των διοικήσεων ορισμένων φορέων και οργανισμών. Πιθανή συνέπεια αυτού είναι ο περιορισμός των 

επενδύσεων σε θέματα ασφάλειας και - ως εκ τούτου - η εμφάνιση μιας νέας απειλής. Αντίθετα, η κατά καιρούς εμφάνιση 

μείζονων περιστατικών ανασφάλειας (horror stories) προκαλεί αύξηση των επενδύσεων σε ασφάλεια. Τελικά, η εμπειρία 

αποδεικύει ότι η επιτυχής πρόληψη προκαλεί εφησυχασμό, ο οποίος αποτελεί βασική απειλή για την ασφάλεια. 



10



Δεδομένης της ιεραρχικής δομής και λειτουργίας της ΔΔ, η προστασία των κρίσιμων ΠΕΥ της αποτελεί 

το αντικείμενο μιας από τις πρωτουβουλίες που ήταν εφικτό και σκόπιμο να αναλάβει η ίδια η 

ΔΔ. Η πρωτοβουλία αυτή αναλήφθηκε μέσω των δράσεων του e-Government Forum 4 , το οποίο χρηματοδοτείται 

από το Επιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας”. Ειδικότερα, στο πλαίσιο 

του e-Government Forum συστήθηκε Ομάδα Εργασίαςς (OE) εμπειρογνωμόνων, με αντικείμενο 

την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 

(Critical Information and Communication Infrastructure Protection, CICIP). Οι βασικοί στοχοι 

της ΟE ήσαν: 

α. H αποτελεσματική αξιοποίηση της τεχνογνωσίας της ακαδημαϊκής και επιχειρηματικής κοινότητας 

σε θέματα προστασίας κρίσιμων ΠΕΥ. 

β. Η προώθηση της σύζευξης ΤΠΕ και διοικητικής δράσης, μέσω της προδιαγραφής του οργανωτικού 

σχήματος που είναι αναγκαίο για την αποτελεσματική προστασία κρίσιμων ΠΕΥ της ΔΔ. 

γ. Η πρόταση δράσεων για την αξιοποίηση των δυνατοτήτων του επιχειρηματικού τομέα του χώρου 

των ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υ- 

ποστήριξη του οργανωτικού σχήματος που θα προταθεί. 

Μέθοδος εργασίας 

Το παρόν πόνημα αποτελεί το αποτέλεσμα της εργασίας της ΟE CICIP. Το κείμενο επικεντρώνεται 

στην περιγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, το οποίο προτείνεται 

να δημιουργηθεί, στο πλαίσιο της λειτουργίας της ΔΔ, με στόχο την προστασία των κρίσιμων ΠΕΥ 

της ΔΔ. 

Η μέθοδος που επελέγη για τη σχεδίαση του οργανωτικού σχήματος προστασίας των κρίσιμων ΠΕΥ 

της ΔΔ αποτελείται από τα εξής εφτά βήματα: 

1 

Διεθνή 

οργανωτικά 

σχήματα 

για την προστασία 

κρίσιμων ΠΕΥ 

2 

Τρέχον 

οργανωτικό 

πλαίσιο 

και πρακτικές 

Στρατηγικός Σχεδιασμός για την 

Προστασία Κρίσιμων 

Πληροφοριακών & Επικοινωνιακών 

Υποδομών της Δημόσιας Διοίκησης 

7 

Δημόσια παρουσίαση 

& κριτική αξιολόγηση 

αποτελεσμάτων 

6 

Προδιαγραφή 

οργανωτικού 

σχήματος 

3 

Κρίσιμες 

ΠΕΥ της 

Δημόσιας 

Διοίκησης 

4 

Αξιολόγηση 

των ΠΕΥ ΔΔ 

ως προς την 

κρισιμότητα 

5 

Οργανωμένη 

διαβούλευση 

Βήμα 1: Καταγραφή και αξιολόγηση ώριμων οργανωτικών 

σχημάτων που λειτουργούν διεθνώς και α- 

φορούν προστασία κρίσιμων ΠΕΥ. Ειδικότερα, έγινε 

αναλυτική επισκόπηση των σχετικών οργανωτικών 

σχημάτων που έχουν αναπτυχθεί σε διάφορες 

χώρες (εντός και εκτός ΕΕ), καθώς και σχετικών 

δράσεων και πρωτοβουλιών που έχουν αναληφθεί α- 

πό εθνικούς και διεθνείς oργανισμούς. Ειδικότερη α- 

νάλυση έγινε για ορισμένες επιλεγμένες χώρες (Γερμανία, 

Ελβετία, Ενωμένο Βασίλειο, ΗΠΑ, Καναδάς, 

Νέα Ζηλανδία, Ολλανδία και Σουηδία). 

Βήμα 2: Καταγραφή οργανωτικών σχημάτων προστασίας 

ΠΕΥ και διαχείρισης κρίσεων, που λειτουργούν 

σήμερα στο πλαίσιο της ελληνικής Δημόσιας 

Διοίκησης, καθώς και των επιχειρησιακών πρακτικών 

που αφορούν τις κρίσιμες ΠΕΥ. Ειδικότερα, α- 

ναζητήθηκαν οι οργανισμοί και φορείς που μπορεί να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας 

Διοίκησης και έχουν ρόλο που σχετίζεται με προστασία κρίσιμων ΠΕΥ. Η καταγραφή περιέλαβε 

εποπτικούς/κανονιστικούς φορείς, ρυθμιστικούς φορείς ασφάλειας, καθώς και φορείς 5 ενημέρωσης 

για τέτοια θέματα στον ελληνικό χώρο. 

Βήμα 3: Εντοπισμός και περιγραφή κρίσιμων ΠΕΥ της ΔΔ στην Ελλάδα. Δεδομένου ότι δεν θα ήταν 

ρεαλιστικό να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες 

4 

Σύσταση του e-Government Forum, ΦΕΚ 1517/2006, τ. Β’, σελ. 20241-20246, 16.10.2006. 

5 Αν και καταβλήθηκε σύντονη προσπάθεια ο σχετικός κατάλογος νάναι πλήρης, δεν μπορεί να αποκλειστεί η 

περίπτωση κάποιος τέτοιος φορέας να διέλαθε της προσοχής των μελών της Ο.Ε. Στην περίπτωση αυτή παρακαλούμε 

για την κατανόηση του φορέα που παραλήφθηκε, αλλά και του αναγνώστη. 



11



ΠΕΥ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε σε σχετική προσέγγιση της ΕΕ, με βάση 

την οποία καθορίστηκαν 20 υπηρεσίες 6 ως οι βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα 

κράτη-μέλη της. Οι υπηρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως 

υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. Οι ΠΕΥ αυτές μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, 

αλλά και με συνεντεύξεις με στελέχη της ΚτΠ Α.Ε. που διετέλεσαν υπεύθυνοι ανάπτυξης των ΠΕΥ. 

Βήμα 4: Αξιολόγηση των ΠΕΥ της ΔΔ ως προς την κρισιμότητα. Αρχικός στόχος ήταν η επιλογή κατάλληλων 

κριτηρίων για την αξιολόγηση των ΠΕΥ που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα 

βήματα, ως προς την κρισιμότητά τους. Επίσης, η περιγραφή μιας συγκεκριμένης μεθόδου που 

θα επιτρέψει μια τέτοια αξιολόγηση. Η μέθοδος που τελικά επελέγη επιτρέπει τη δυαδική ταξινόμηση 

των ΠΕΥ ΔΔ σε κρίσιμες ΠΕΥ (ζωτικής σημασίας) και μη κρίσιμες ΠΕΥ (μη ζωτικής σημασίας). Η 

μέθοδος που επελέγη για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίστηκε σε δύο παραμέτρους: 

(α). Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ και 

(β). την ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Ο χαρακτηρισμός μιας 

ΠΕΥ ως κρίσιμης βασίστηκε στο συνδυασμό της έντασης κάθε επίπτωσης, η οποία επέρχεται από 

τον περιορισμό της διαθεσιμότητας της ΠΕΥ (με βάση το θεωρητικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο” 

7 ). Η τελική επιλογή των κρίσιμων ΠΕΥ ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής 

επαγγελματικής εμπειρογνωμοσύνης (professional judgement). 

Βήμα 5: Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο 

αυτό, είτε εκτιμάται εύλογα ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Η διαβούλευση οργανώθηκε 

σε τέσσερις φάσεις: (α). Επιλογή συμμετεχόντων στη διαβούλευση, (β). Σύνταξη-αποστολή 

ειδικά σχεδιασμένων ερωτηματολογίων, (γ). Συλλογή-επεξεργασία απαντήσεων και (δ). Διοργάνωση 

και διεξαγωγή ημερίδας μεταξύ των μελών της ΟΕ και των εμπειρογνωμόνω που επελέγησαν. 

Βήμα 6: Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, σε 

στρατηγικό και επιτελικό επίπεδο, που αποσκοπεί στην προστασία των κρίσιμων ΠΕΥ της ΔΔ. Με 

βάση τα αποτελέσματα προηγούμενων βημάτων, αλλά και τα συμπεράσματα που προέκυψαν από τη 

διαβούλευση σχεδιάστηκε ένα ευέλικτο οργανωτικό σχήμα, που αποσκοπεί στην προστασία των κρίσιμων 

ΠΕΥ ΔΔ και λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες 

πρακτικές σε διεθνές επίπεδο, αλλά ταυτόχρονα είναι προσαρμοσμένο στην ελληνική πραγματικότητα, 

λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο. 

Βήμα 7: Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της ΟΕ, με τον 

ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. Η παρουσίαση των αποτελεσμάτων της ΟΕ προγραμματίζεται 

να γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας, αλλά και του παρόντος 

παραδοτέου στο δικτυακό τοπο του e-Governement Forum (www.e-governmentforum.gr). Περαιτέρω, 

τα αποτελέσματα του έργου της ΟΕ προγραμματίζετια να παρουσιαστούν σε διάφορα fora που α- 

φορούν τις ΤΠΕ και τη ΔΔ. 

Επισκόπηση διεθνούς εμπειρίας 

Τα θέματα προστασίας των κρίσιμων υποδομών ανήκουν στις προτεραιότητες όλων των τεχνολογικά 

προηγμένων χωρών. Ειδικότερα, η προσοχή των χωρών αυτών δεν περιορίζεται μόνο στις ΠΕΥ, αλλά 

επεκτείνεται και σε άλλες κρίσιμες υποδομές, όπως η ενέργεια, η παροχή υπηρεσιών υγείας, η πυροπροστασία 

κλπ., μέσω μιας ολιστικής θεώρησης που αποβλέπει στην προστασία του συνόλου των 

κρίσιμων υποδομών (all-hazards approach). 

6 

Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται με βάση μια κοινή μέθοδο, σε ευρωπαϊκό επίπεδο. Έτσι, είναι 

δυνατή η σύγκριση της προόδου των κρατών-μελών της EE σε ό,τι αφορά την ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής 

διακυβέρνησης (βλ. Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα, 

Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007). 

7 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης 

επικινδυνότητας ΠΣ. Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, αν και η 

βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit factor) δεν είναι αυστηρά εγγυημένη. 



12



Αποτέλεσμα του πολύ αυξημένου διεθνούς ενδιαφέροντος είναι η ανάπτυξη σειράς οργανωτικών 

σχημάτων, που εντάσσονται κυρίως στο πλαίσιο των κρατικών δομών κάθε χώρας, τα οποία αποσκοπούν 

στην επίτευξη του συγκεκριμένου στόχου. Τα οργανωτικά αυτά σχήματα διαφέρουν, από χώρα 

σε χώρα, τόσο σε ό,τι αφορά την έκτασή τους, όσο και σε ό,τι αφορά τη δομή τους. Η διαφοροποίηση 

μπορεί να ερμηνευτεί με βάση το βαθμό της τεχνολογικής προόδου κάθε χώρας, τις τρέχουσες τοπικές 

κοινωνικο-οικονομικές ιδιαιτερότητες, τις στρατηγικές ένταξης των ΤΠΕ στο σχέδιο ανάπτυξης 

κάθε χώρας, καθώς και στο ιστορικό συμφραζόμενο που αφορά τον ιμπεριαλιστικό χαρακτήρα της 

χώρας. 8 

Η επισκόπηση των οργανωτικών σχημάτων 

και δομών έδειξε, μεταξύ άλλων, ότι η προστασία 

των κρίσιμων υποδομών, ΠΕΥ ή άλλων, 

δεν είναι μονόδρομος, καθώς δεν υ- 

πάρχει βέλτιστο σχήμα, δεδομένων των αναπόφευκτων 

διαφοροποίησεων μεταξύ των 

διαφόρων χωρών. Από την άλλη, η επισκόπιση 

αποκάλυψε, επίσης, ότι υπάρχουν κάποιες 

συγκεκριμένες επιλογές, οι οποίες φαίνεται 

ότι υιοθετούνται από αρκετές χώρες 

και οι οποίες εκτιμάται ότι διαμορφώνουν έ- 

να σύνολο καλών πρακτικών (good practices) για την αντιμετώπιση του ζητήματος. Για παράδειγμα, 

ως πυλώνες της προστασίας των κρίσιμων υποδομών θεωρουνται δράσεις που αποβλέπουν στην πρόληψη 

και την έγκαιρη προειδοποίηση, στην έγκαιρη ανίχνευση των επιθέσεων, στην άμεση και αποτελεσματική 

αντίδραση σε αυτές, καθώς και στη διαχείριση των κρίσεων που προκύπτουν. 

Περαιτέρω, η σύγκλιση ορισμένων χωρών στην υιοθέτηση παρόμοιων οργανωτικών σχημάτων προστασίας 

των κρίσιμων υποδομών επιτρέπει τη διαμόρφωση μιας αδρής μεθοδολογίας, η οποία μπορεί 

να ακολουθηθεί από κάποια χώρα, όπως η Ελλάδα, που δεν διαθέτει ακόμη ένα τέτοιο οργανωτικό 

σχήμα, αλλά ενδιαφέρεται να αναπτύξει. Η μεθοδολογία αυτή, ως αρκούντως γενική και παραμετρική, 

δεν περιορίζει το πεδίο εφαρμογής της μόνο στις ολιστικές προσεγγίσεις (all-hazards), αλλά είναι 

εφαρμόσιμη και σε υποδομές περιορισμένου εύρους. Για παράδειγμα, είναι εφαρμόσιμη στην περίπτωση 

της Ελλάδας, όπου το τρέχον ενδιαφέρον εστιάζεται στην προστασία κρίσιμων (μόνον) ΠΕΥ, 

αλλά (με κάποιους περιορισμούς που αφορούν κυρίως την αλληλεπίδραση μεταξύ ΠΣ) και σε περιορισμένα 

πεδία εφαρμογής των ΤΠΕ (πχ. σε 

υπηρεσίες ηλεκτρονικής διακυβέρνησης). 

Τα βασικά συστατικά μέρη ενός τέτοιου οργανωτικού 

σχήματος είναι (α). Μια Κρατική 

Υπηρεσία, (β). ένα Κέντρο Ανάλυσης (που 

μπορεί να δημιουργηθεί γιαυτό το λόγο και 

μόνο), καθώς και (γ). ένα Κέντρο Αριστείας 

(πχ. ένα Ερευνητικό Ινστιτούτο ή ένα CERT 

με διευρυμένες αρμοδιότητες). 

Με βάση τη διεθνή εμπειρία προκύπτει ότι, πέραν των βασικών μερών από τα οποία πρέπει να αποτελείται 

ένα οργανωτικό σχήμα προστασίας κρίσιμων υποδομών, ιδιαίτερη σημασία έχει η εσωτερική 

οργανωτική του διάρθρωση (πχ. η αυξημένη διοικητική του αυτονομία, η ύπαρξη επαρκών διοικητικών 

μονάδων υποστήριξης κλπ.), οι διασυνδέσεις του με το περιβάλλον (καθώς αναμένεται να υπάρχει 

σειρά επικαλύψεων και συναρμοδιοτήτων με άλλες υπηρεσίες, κάποιες από τις οποίες θάναι αναγκαίες 

και κάποιες άλλες ενδεχομένως όλως περιττές), καθώς και ο χαρακτήρας και η φύση του. Ειδικά 

το τελευταίο χαρακτηριστικό, για παράδειγμα η επιλογή “ανοικτών” σχημάτων διοίκησης σε βά- 

8 

Η παράμετρος αυτή φαίνεται ότι έχει αποκτήσει σημαντική βαρύτητα στον καθορισμό των οργανωτικών σχημάτων προστασίας 

κρίσιμων υποδομών, ειδικά μετά τα γεγονότα της 11.09.2001. Χαρακτηριστικό παράδειγμα της σημασίας της α- 

ποτελεί η ίδρυση νέου Υπουργείου των ΗΠΑ (Dept. of Homeland Security), που διαθέτει, μεταξύ άλλων, τη σχετική αρμοδιότητα. 

Άλλα παραδείγματα, τηρουμένων των αναλογιών, αποτελούν οι σύνθετες οργανωτικές δομές που έχουν υιοθετηθεί 

από το Ενωμένο Βασίλειο, αλλά και τη Γερμανία. 



13



ρος “κλειστών” φορέων εξουσίας, η προτεραιότητα της ελεγκτικής ή της συμβουλευτικής δραστηριότητας 

ή η ισορροπία μεταξύ των δύο, η έμφαση στην πρόληψη ή την καταστολή κλπ. αποτελούν 

κομβικές επιλογές για την πετυχημένη λειτουργία του. 

Η παρουσία και ο ρόλος του ιδιωτικού τομέα (της επιχειρηματικής κοινότητας) διαφοροποιείται, επίσης, 

από χώρα σε χώρα. Η τάση που παρατηρείται, γενικά, είναι να διαδραματίζει κάποιο ρόλο, ενίοτε 

αξιόλογης εμβέλειας (σε συγκεκριμένα ζητήματα), αλλά κυρίως σε συμβουλευτικό επίπεδο ή σε ε- 

πίπεδο ανταλλαγής πληροφόρησης και εμπειριών. Σε χώρες όπου η Δημόσια Διοίκηση έχει σχετικά 

περιορισμένο εύρος (πχ. ΗΠΑ), ο ρόλος της ιδιωτικής πρωτοβουλίας είνα σημαντικά διευρυμένος και 

έχει προσλάβει χαρακτηριστικά ουσιαστικά στρατηγικού εταίρου, μερικές φορές ακόμη και σε ζητήματα 

προστασίας κρίσιμων υποδομών 9 . 

Οι συνθήκες στην Ελλάδα 

Στην Ελλάδα, σήμερα (Αύγουστος 2008), υπάρχει σειρά δημόσιων υπηρεσιών, ανεξάρτητων αρχών, 

οργανισμών και φορέων που περιλαμβάνουν μεταξύ των αρμοδιοτήτων τους θέματα που σχετίζονται 

με την προστασία και ασφάλεια κρίσιμων ΠΕΥ. Μεταξύ αυτών περιλαμβάνονται: 

(α). Το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ), που έχει επιτελικό ρόλο σε εθνικό επίπεδο και 

είναι αρμόδιο για την έκδοση του Εθνικού Κανονισμού Ασφάλειας (ΕΚΑ) (Π.Δ. 17/1974), σε 

συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Ο ΕΚΑ έχει εφαρμογή σε όλη τη ΔΔ. 

(β). Η ΕΥΠ, που αποτελεί Αρχή Ασφάλειας Πληροφοριών (INFOSEC) (N. 39/2008), είναι υπεύθυνη 

για το εθνικό Computer Emergency and Response Team (CERT) (Π.Δ. 325/2003) και αποτελεί 

την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Π.Δ. 325/2003). 

(γ). Η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ) και η Υπηρεσία Ανάπτυξης 

Πληροφορικής (ΥΑΠ) του Υπουργείου Εσωτερικών (ΥΠΕΣ), που διαθέτουν ορισμένες αρμοδιότητες 

αμέσως ή εμμέσως συσχετιζόμενες με την προστασία των κρίσιμων ΠΕΥ της ΔΔ. Ενδεικτικά 

αναφέρεται ότι η Διεύθυνση ΠΣΕΑ είναι αρμόδια για την κατάρτιση, τήρηση και αναθεώρηση 

σχεδίων εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας ΔΔ και Ηλεκτρονικής Διακυβέρνησης, 

ενώ η ΥΑΠ έχει οριστεί ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ), 

δηλαδή ως Πρωτεύουσα Αρχή (ΠΑΠ) (Ν. 3448/2006). 

(δ). Η Ελληνική Αστυνομία (ΕΛΑΣ), ως υπαγόμενη στο ΥΠΕΣ, που εμπλέκεται κυρίως μέσω της Διεύθυνσης 

Χειρισμού Κρίσεων, της Διεύθυνσης Εγκληματολογικών Υπηρεσιών, της Υπηρεσίας 

Δίωξης Ηλεκτρονικου Εγκλήματος, του Τομέα Εξέτασης Ψηφιακών Πειστηρίων κλπ. 

(ε). Το Υπουργείο Μεταφορών και Επικοινωνιών (ΥΜΕ), που είναι αρμόδιο για τη χάραξη πολιτικής 

για την ασφάλεια των δημόσιων δικτύων και των υπηρεσιών ηλεκτρονικών επικοινωνιών (Ν. 

3431/2006), από κοινού με συναρμόδια Υπουργεία. 

9 Το γεγονός αυτό είναι αυτονόητο, δεδομένου ότι πολύ μεγάλο μέρος των κρίσιμων υποδομών (πχ. ενέργεια, επικοινωνίες 

κλπ.) στις ΗΠΑ, αλλά και σε πολλές άλλες χώρες, είναι - ή περιέρχεται σταδιακά - υπό τον έλεγχο του ιδιωτικού τομέα. 



14



(στ).Ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), η Αρχή Διασφάλισης 

του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και η Εθνική Επιτροπή Τηλεπικοινωνιών 

και Ταχυδρομείων (ΕΕΤΤ), οι οποίες παρεμβαίνουν σε θέματα της αρμοδιότητάς τους. Ενδεικτικά, 

η ΑΠΠΔ είναι αρμόδια για θέματα προστασίας προσωπικών δεδομένων και για τον έλεγχο ό- 

λων των εμπλεκόμενων φορέων (Ν. 2472/1997, Ν. 2774/1999), η ΑΔΑΕ είναι αρμόδια για την 

τήρηση του απόρρητου της ελεύθερης επικοινωνίας, για την πιστοποίηση προϊόντων ασφαλείας 

και για τον έλεγχο όλων των εμπλεκόμενων φορέων (Ν. 3115/2003), ενώ η ΕΕΤΤ είναι αρμόδια, 

μεταξύ άλλων, για τον έλεγχο των φορέων παροχής υπηρεσιών ηλεκτρονικής υπογραφής (Π.Δ. 

150/2001), καθώς και για την ακεραιότητα και διαθεσιμότητα των δημόσιων δικτύων επικοινωνίας 

- και σε περιόδους έκτακτης ανάγκης. 

(ζ).Η Τράπεζα της Ελλάδας (ΤτΕ), που εμπλέκεται στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού 

συστήματος για τη νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες και τη 

χρηματοδότηση ειδικών εγκλημάτων βίας (Ν. 3601/2007, Πλαίσιο Εποπτείας - Βασιλεία ΙΙ κλπ.). 

(η). Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας του Εθνικού Δικτύου Έρευνας και Τεχνολογίας 

(ΕΔΕΤ-CERT, GRNET-CERT), που είναι αρμόδια να ανταποκρίνεται σε περιστατικά ανασφάλειας 

στον ελληνικό δικτυακό χώρο (.gr), να παρέχει πληροφορίες, εκπαίδευση και τεχνική 

βοήθεια και να αντιπροσωπεύει την Ελλάδα στα αντίστοιχα ευρωπαϊκά και διεθνή fora. 

(θ). Η υπηρεσία ENISA (European Network Information Security Agency) της Ευρωπαϊκής Ένωσης, 

που λειτουργεί κυρίως ως Κέντρο Εμπειρογνωμοσύνης για θέματα ασφάλειας δικτύων και πληροφοριών, 

παρέχοντας συμβουλευτικές υπηρεσίες σε θέματα όπως το ηλεκτρονικό έγκλημα και 

οι μεθοδολογίες αποτίμησης επικινδυνότητας και εκπονώντας σχετικές μελέτες. 

(ι). Φορείς και υπηρεσίες, όπως ο Ελληνικός Φορέας Πρόληψης της Ηεκτρονικής Απάτης (ΕΦΤΑ), ο 

Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας (ΣΕΠΕ), ο ελληνικός κόμβος 

ασφαλούς διαδικτύου SafeNetHomePlus, η υπηρεσία SafeLine, καθώς και ιδιαιτέρως, λόγω 

της ιδιαίτερης δυναμικής που μπορεί να επιδείξει, η Ομάδα Δράσης για την Ψηφιακή Ασφάλεια 

(Digital Awareness and Response to Threats, DART), που λειτουργεί στο πλαίσιο του Επιχειρησιακού 

Προγράμματος “Ψηφιακή Ελλάδα”. 

Οι επικαλύψεις, οι συναρμοδιότητες και οι ελλείψεις του πλαισίου αυτού είναι εμφανείς. Μια ενδεικτική 

δομημένη (Πίνακας Ι) απεικόνιση των αρμοδιοτήτων των ρυθμιστικών και ελεγκτικών φορέων 

αναδεικνύει το πρόβλημα. 

ΠΙΝΑΚΑΣ Ι: Ενδεικτικές επικαλύψεις φορέων 

ΡΟΛΟΙ 

ΦΟΡΕΑΣ 

ΣΧΕΤΙΚΟ ΠΕΔΙΟ 

ΔΡΑΣΗΣ 

Ρυθμίσεις, 

κανονισμοί 

Έλεγχοι 

εφαρμογής 

θεσμικού 

πλαισίου 

Παροχή 

προϊόντωνυποδομών 

ασφαλείας 

Πιστοποίηση 

προϊόντων και 

υπηρεσιών 


ΑΠΠΔ 

ΑΔΑΕ 

ΕΕΤΤ 

ΕΦΤΑ 

GRNET 

Προστασία προσωπικών 

δεδομένων √ √ √ 

Προστασία απορρήτου 

των επικοινωνιών √ √ √ 

Ρύθμιση θεμάτων τηλεπικοινωνιών 

√ √ √ √ 

Πρόληψη τηλεπικοινωνιακής 

απάτης √ √ 

Προϊόντα/υπηρεσίες 

ασφάλειας συστημάτων 

√ 

Όσο οι κρίσιμες ΠΕΥ ήσαν ελάχιστες στο πλήθος και εξυπηρετούσαν περιορισμένο αριθμό χρηστών, 

τόσο το πρόβλημα της ασφαλούς διαχείρισής τους παρέμενε υπό έλεγχο, δεδομένου ότι οι σχετικές α- 



15



πειλές δεν αναμενόταν να προκαλέσουν αξιοσημείωτες επιπτώσεις. Επίσης, τυχόν επικαλύψεις και 

συναρμοδιότητες μεταξύ των εμπλεκόμενων υπηρεσιών και φορέων προκαλούσαν μάλλον αμελητέες 

επιπτώσεις, δεδομένης της περιορισμένης έκτασης του πραγματικού προβλήματος. Η κατάσταση αυτή 

ανατράπηκε άρδην, κατά την τελευταία τριετία, ειδικά μετά την ανάπτυξη σημαντικού πλήθους 

ΟΠΣ και δικτυακών υποομών, που χρηματοδοτηθηκαν κυρίως - αλλά όχι μόνο - μέσω του Επιχειρησιακού 

Προγράμματος “Κοινωνία της Πληροφορίας”, καθώς και μετά την εντεινόμενη διάχυση των 

ευρυζωνικών επικοινωνιών και υπηρεσιών. 

Στις τρέχουσες συνθήκες - και ειδικά όταν περιέλθουν σε πλήρη παραγωγική λειτουργία το δίκτυο 

ΣΥΖΕΥΞΙΣ της ΔΔ, καθώς και η εθνική διαδικτυακή πύλη (portal) ΕΡΜΗΣ - εκτιμάται ότι τυχόν 

μείζονα περιστατικά ανασφάλειας στις κρίσιμες ΠΕΥ της ΔΔ όχι απλώς δεν θα είναι εύκολο να αντιμετωπιστούν 

αποτελεσματικά, αλλά πιθανότατα θα οδηγούν σε σύγχυση και σε δημόσιες διαμάχες 

για το εύρος και το είδος της αρμοδιότητας καθενός των εμπλεκόμενων φορέων και υπηρεσιών. 

Εάν ο σκοπός της χρηστής και ευνομούμενης ΔΔ δεν είναι η διάχυση των ευθυνών και η αποσιώπηση 

των προβλημάτων, αλλά η έγκαιρη και αποτελεσματική αντιμετώπισή τους, τότε μια χαοτική πανσπερμία 

αρμόδιων-συναρμόδιων-ημιαρμόδιων, ιδιωτικών και δημόσιων, φορέων προστασίας των 

κρίσιμων ΠΕΥ πολύ απέχει από το να μπορεί να υπηρετήσει το σκοπό αυτό. 

Κρίσιμες ΠΕΥ στην ελληνική ΔΔ 

Βασικό μέσο για την προστασία των κρίσιμων ΠΕΥ της ΔΔ είναι η επιλογή κατάλληλων κριτηρίων 

για την αξιολόγηση των υπαρχουσών ΠΕΥ και την επιλογή, μεταξύ αυτών, αυτών που είναι κρίσιμες. 

Για το σκοπό του παρόντος πονήματος αρκεί μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει 

να καταστεί δυνατή η δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη 

κρίσιμες (μη ζωτικής σημασίας). 

Χαρακτηριστικό γνώρισμα της κρισιμότητας των ΠΕΥ είναι ότι διαρκώς μεταβάλλεται, αφού οι κύριοι 

παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) συνεχώς διαφοροποιούνται 

(οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας 

και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). 

Για την αξιολόγηση της κρισιμότητας μιας υποδομής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της 

υποδομής ή των υπό αξιολόγηση στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται 

ως συνάρτηση των εξής παραγόντων 10 : (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επίπτωση), 

όπου ο τελεστής ◊ είναι ένας γενικευμένος πολλαπλασιαστής. Βεβαίως, η επικινδυνότητα α- 

ποτελεί εύλογο (αλλά όχι μοναδικό, ούτε κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας μιας υ- 

ποδομής. 

Ωστόσο, υπάρχουν συγκεκριμένες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως 

άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας. Ενδεικτικά υπάρχει: (α). Δυσχέρεια 

στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά 

εξαιρετικά σημαντικών επιπτώσεων (σε αυτά ανήκουν και οι ανθρωπογενείς απειλές, πχ. ειδικές επιθέσεις 

βίας), (β). Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων 

και υποδομών (όπως των ΠΕΥ), (γ). Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν 

υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις (αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις ο- 

ποίες εξαρτώνται άλλες σημαντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.), (δ) Δυσχέρεια στη 

χρήση πολυκριτηριακών μεθόδων, (ε). Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. 

επιπέδου εμπιστοσύνης, ψυχολογικών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων 

των χρηστών ή του ευρύτερου κοινωνικού συνόλου κλπ.) και (στ). ειδικά για την περίπτωση 

των ΠΕΥ, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής υπηρεσιών (διαθεσιμότητας, ακεραιότητας, 

εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επι- 

10 

Η χρήση μοντέλων όπως αυτό που περιγράφεται από την εξίσωση, καθώς και η εκτίμηση των παραγόντων που υπεισέρχονται 

σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis, Threat E- 

stimation, Impact Analysis, System Reliability, καθώς και σε άλλες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμενες 

σε συγκεκριμένα συστήματα ή περιοχές εφαρμογής. 



16



πτώσεις της περιορισμένης διαθεσιμότητας, δηλαδή της “μη εύλογης” καθυστέρησης (πχ. μακροχρόνιας 

διακοπής) της παροχής κρίσιμης πληροφορίας. 

Με την υιοθέτηση μιας μετρικής αναλογίας μεταξύ κρισιμότητας και επικινδυνότητας, καθώς και με 

την περαιτέρω απλούστευση του προσδιορισμού τους με βάση τις επιπτώσεις που θα είχε ενδεχόμενη 

προσβολή των υπό αξιολόγηση ΠΕΥ στη διαθεσιμότητά τους, μπορούν να υιοθετηθούν ως κριτήρια 

κρισιμότητας εκείνα που αφορούν την αξιολόγηση των αντίστοιχων επιπτώσεων. 

Η μέθοδος που επελέγη, τελικά, για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις 

παραμέτρους: 

(α). Είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Τα είδη που 

λήφθηκαν υπόψη είναι: πληθυσμός (αριθμός χρηστών) που επηρεάζεται, (άμεση) οικονομική επίπτωση 

από τη μη διαθεσιμότητα, ένταση διασυνοριακότητας, αλληλεξάρτηση ΠΕΥ με άλλες, α- 

νακαμψη ΠΕΥ, αντίδραση της κοινής γνώμης, επίπτωση στην εφαρμογή πολιτικών και στη λειτουργία 

της ΔΔ, επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων, επίπτωση στην ιδιωτικότητα, 

επιρροή στην άποψη (μεπιστοσύνη) του κοινού για τις ΤΠΕ. 

(β). Ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Η ένταση κάθε επίπτωσης 

αποτιμήθηκε μέσω μιας 5-βάθμιας κλίμακας τύπου Likert, με τις δυνατές τιμές: {Πολύ υψηλή, 

Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. 

(γ). Υποψήφιες κρίσιμες ΠΕΥ ΔΔ. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο 

του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή 

οι αναπτυσσόμενες ΠΕΥ της ΔΔ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε στην προσέγγιση 

της ΕΕ, η οποία έχει καθορίσει 20 υπηρεσίες ως τις βασικές υπηρεσίες ηλεκτρονικής 

διακυβέρνησης για τα κράτη-μέλη της ΕΕ. Οι υπηρεσίες αυτές παρέχονται μεσω κατάλληλων 

ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. 

(δ). Διαδικασία επιλογής των κρίσιμων υποδομών. Η διαδικασία αυτή δε βασίστηκε σε ποσοτική ε- 

κτίμηση, αλλά ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης. 

Το θεμελιώδες σημείο αναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυςμενέστερου 

ενδεχομένου. Έτσι, ως κρίσιμες ΠΕΥ της ελληνικής ΔΔ ορίστηκε να είναι αυτές για 

τις οποίες ένα τουλάχιστον από τα κριτήρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή. 

Ο Πίνακας ΙΙ, που προκύπτει από το συνδυασμό των ως άνω παραμέτρων, εμπλουτίστηκε με τις τιμές 

εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Σε ορισμένες περιπτώσεις οι 

τιμές αυτές επελέγησαν ad hoc, προκειμένου να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες. 

Η εφαρμογή των επιλεγέντων κριτηρίων αξιολόγησης στις υποψήφιες κρίσιμες ΠΕΥ της ΔΔ οδηγεί 

στον Πίνακα ΙΙΙ που περιλαμβάνει τις υπάρχουσες και τις αναπτυσσόμενες κρίσιμες ΠΕΥ της ελληνικής 

ΔΔ, οι οποίες εκτιμήθηκε ότι είναι (η σειρά της αναγραφής τους δεν σχετίζεται, κατ’ ανάγκην, με 

κάποιου είδους προτεραιότητα, σημασία ή ενδιαφέρον): 

(α). To Εθνικό Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ. 

(β). Το Ολοκληρωμένο Πληροφοριακό Σύστημα των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ). 

(γ). Τα Κέντρα Δεδομένων (Data Centers) που στεγάζονται στις εγκαταστάσεις της ΚτΠ 11 Α.Ε. 

(δ). Το Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET του Υπ. Οικονομίας και Οικονομικών. 

11 Στις παρούσες συνθήκες (Σεπτέμβρης 2008), στις εγκαταστάσεις της ΚτΠ ΑΕ στεγάζονται 2 Κέντρα Δεδομενων, 

ενώ σχεδιάζεται η στέγαση ενός τρίτου. Στα Κέντρα Δεδομένων είναι εγκατεστημένα και λειτουργούν 

παραγωγικά οκτώ (8) ΟΠΣ, ενώ μελετάται η εγκατάσταση τουλάχιστον πέντε (5) επιπλέον ΟΠΣ (βλ. Κεφ. 

5.4 για αναλυτικό κατάλογο). Πρόκειται για τυπική περίπτωση Πολυκέντρου Δεδομένων. 



17



Πίνακας ΙI: Κριτήρια επιλογής κρίσιμων ΠΕΥ της ελληνικής ΔΔ 

Κριτήριο 

Επίπτωση 

Πολύ υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή 

Επηρεαζόμενος πληθυσμός 

>100,000 10,000-100,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 € 0,1-1 x 10 6 €



ΠΙΝΑΚΑΣ ΙΙI: Κρίσιμες ΠΕΥ της ελληνικής ΔΔ 


Πληροφοριακή και 

Επικοινωνιακή Υποδομή 

Εθνικό Δίκτυο ΔΔ 

ΣΥΖΕΥΞΙΣ 

ΟΠΣ Κέντρων 

Εξυπηρέτησης Πολιτών 

Κέντρα Δεδομένων 

(Data Centers) ΚτΠ Α.Ε. 

Ολοκληρωμένο Σύστημα 

Φορολογίας TaxisNET 

Επηρεαζόμενος πληθυσμός Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή 

Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ υψηλή 

Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ υψηλή 

Αλληλοεξάρτηση Πολύ υψηλή Μέτρια Υψηλή Υψηλή 

Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή 

Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια 

Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια 

Προσωπική ασφάλεια Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή 

Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή 

Επηρεασμός του κοινού για τις ΤΠΕ Υψηλή Υψηλή Πολύ υψηλή Υψηλή 

Χρωματικός κώδικας έντασης της τιμής της παραμέτρου 

Χαμηλή Μέτρια Υψηλή 



19



Προτεινόμενο οργανωτικό σχήμα 

Τα βασικά χαρακτηριστικά, τα οποία επιδιώκεται να διαθέτει το οργανωτικό σχήμα που προτείνεται 

να δημιουργηθεί για την προστασία των κρίσιμων ΠΕΥ της ΔΔ, είναι τα εξής: 

• Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες. 

• Αυτονομία, έτσι ώστε να μπορεί να λειτουργει ανεμπόδιστα, γρήγορα και αποτελεσματικά. 

• Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ. 

• Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο ανοικτός, 

διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, εν τέλει, 

η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων φορέων 

και υπηρεσιών. 

Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές άλλων 

ευρωπαϊκών χωρών και επικεντρώνεται κυρίως σε θέματα ήπιας κρισιμότητας (soft criticality), 

δηλαδή κρισιμότητας που δεν σχετίζεται και δεν αφορά ευθέως θέματα εθνικής ασφάλειας, διεθνών 

σχέσεων, εξωτερικής πολιτικής και προστασίας του πολιτεύματος. 

Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού 

σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό, παρόλο 

που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών 12 , τελικά εκτιμήθηκε ότι δεν 

ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές. 

Καθώς το οργανωτικό σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες 

με σειρά φορέων της Δημόσιας Διοίκησης (και όχι μόνον), εξετάστηκαν οι παρακάτω ενδεικτικές 

εναλλακτικές δομικές μορφές του: 

(α). Σχήμα χωρίς αυστηρή ιεραρχική δομή, σύμφωνα με το ανεξάρτητο επιχειρηματικό μοντέλο (independent 

business model) για την οργάνωση ενός CSIRT (Computer Security Incident Response 

Team). Το σχήμα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό, με δικό του προσωπικό 

και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαίου). Ο οργανισμός δεν είναι αναγκαίο 

(αλλά δεν πρέπει να αποκλείεται) να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να 

επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών. Αντίθετα, πρέπει να διαθέτει 

διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα της αρμοδιότητάς 

τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτονομο χαρακτήρα του σχήματος. 

(β). Δημιουργία Γενικής Γραμματείας, ενδεχομένως υπαγόμενης απευθείας στο Γραφείο του Πρωθυπουργού, 

με μόνη και αποκλειστική αρμοδιότητα την προστασία των κρίσιμων υποδομών. Η πρακτική 

αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει και λειτουργεί με επιτυχία 

κυρίως η Νέα Ζηλανδία. Η πρόταση αυτή επικεντρώνεται κυρίως στον επιτελικό χαρακτήρα 

του σχήματος, καθώς και στην πολύ υψηλή ιεραρχική ενσωμάτωσή του στην πυραμίδα της ΔΔ. 

(γ). Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης 

(Σώμα Επιθεωρητών Δημόσιας Διοίκησης). Αντίστοιχης δομής σενάριο είναι, αντί της ενσωμάτωσης 

στη Γενική Γραμματεία Επιθεωρητών ΔΔ, η δημιουργία ενός Σώματος Ελεγκτών για την προστασία 

των κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετηθηκε 

κυρίως από την Αυστραλία (TISN). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό 

χαρακτήρα του σχήματος. 

(δ). Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κάποια 

υφιστάμενη Ειδική/Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη 

της οργανωτικής δομής στο: (α). Υπουργείο Εσωτερικών (Γενική Γραμματεία Δημόσιας Διοίκησης 

και Ηλεκτρονικής Διακυβέρνησης), (β). Υπουργείο Μεταφορών και Επικοινωνιών, (γ). Υ- 

12 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρεσία 

της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, ενδεικτικά, 

οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα ανήκουν, 

επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών. 



20



πουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων). Η πρακτική αυτή είναι 

αρκετά συνηθισμένη διεθνώς, ειδικά σε χώρες με αποτελεσματική ΔΔ. Ακολουθείται, για παράδειγμα, 

στη Γερμανία (ΒΜΙ, BSI). Η πρόταση αυτή επικεντρώνεται κυρίως στον εκτελεστικό/διαχειριστικό 

χαρακτήρα του σχήματος. 

Έχοντας υπόψη τις παραπάνω στρατηγικές επιλογές, τη σχετική διεθνή εμπειρία, τις ελληνικές ιδιαιτερότητες 

(ειδικά τη μορφολογία και την όποια παθολογία της ελληνιικής ΔΔ), καθώς και τους σχετικούς 

λειτουργικούς περιορισμούς, το σχήμα που προτείνεται να υιοθετηθεί περιγράφεται συνοπτικά 

στο σχήμα που ακολουθεί. 

Προτεινόμενο οργανωτικό σχήμα προστασίας κρίσιμων ΠΕΥ της ΔΔ 

Με βάση την πρόταση αυτή, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανατίθεται σε μια Συντονιστική 

Επιτροπή, η οποία ηγείται του όλου σχήματος. 

Ελεγκτικό-εποπτικό ρόλο αναλαμβάνει η Ομάδα Εποπτείας, ενώ την τεχνογνωσία την παρέχει η Ομάδα 

Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται σε στενή συνεργασία με ερευνητικούς φορείς, 

κατά προτίμηση με Ερευνητικό Ινστιτούτο που εκτιμάται ότι είναι σκόπιμο να ιδρυθεί για αυτό το σκοπό. 

Σε περιπτώσεις κρίσεων συγκροτείται Ομάδα Αντιμετώπισης Κρίσεων, η οποία έχει αυξημένες και ιδιαίτερες 

αρμοδιότητες και ρόλο κατά την εκδήλωση περιστατικών που υποδηλώνουν ενδεχόμενη μείζονα 

κρίση. 

Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομάδες Συλλογής Πληροφοριών, Ενημέρωσης 

και Αντιμετώπισης Περιστατικών, οι οποίες - ειδικά κατά την αρχική λειτουργία του σχήματος - εκτιμάται 

ότι είναι σκόπιμο να αποτελούν μια ενιαία ομάδα, ευρύτερης στόχευσης. 



21



Κέντρο Ανάλυσης δεν προβλέπεται στην πρόταση, τουλάχιστον με την έννοια που είναι γνωστό διεθνώς. 

Προβλέπεται μόνον ως δίαυλος διαρκούς και συστηματικής επικοινωνίας (liaison) με τους φορείς 

εφαρμογής του νόμου (law enforcement agencies). 

Το οργανωτικό σχήμα περιλαμβάνει Γραφείο Δημοσίων Σχέσεων, που αποσκοπεί στην ενημερωση του 

κοινού, την προβολή του έργου του οργανισμού, καθώς και την επικοινωνία με τους συνεργαζόμενους 

φορείς και το κοινό. 

Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά μια Αγορά (Agora) απόψεων, εκτιμήσεων, σταθμίσεων 

και προτάσεων, δηλαδή μια δομή θεσμοθετημένης διαρκούς διαβούλευσης, στην οποία συμμετέχουν 

εκπρόσωποι φορέων και ενδιαφερόμενων ή/και εμπλεκόμενων ομάδων (πχ. μη κυβερνητικών οργανώσεων, 

συνδικαλιστικών οργανώσεων, ειδικών επιστημόνων κλπ.). 

Οι διασυνδέσεις του σχήματος με άλλους φορείς - και όχι μόνο της ΔΔ - διαδραματίζουν ιδιαίτερα σημαίνοντα 

ρόλο, λόγω της εγγενούς και έντονης δια-λειτουργίας πολλών από τις κρίσιμες ΠΕΥ, τόσο 

μεταξύ τους, όσο και με άλλες υποδομές και ΠΣ. 

Διασύνδεση του οργανωτικού σχήματος με άλλους φορείς 

Κωδικοποίηση συμπερασμάτων και προτάσεων 

Με βάση: 

(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνικής 

Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκληθούν, 

(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδιασθεί 

και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών, 



22



(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης, 

καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals), 

(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής Δημόσιας 

Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ, 

προτείνεται στη συνέχεια μια σειρά κωδικοποιημένων και ιεραρχημένων παρεμβάσεων για την προστασία 

των κρίσιμων ΠΕΥ της ελληνικής ΔΔ. 

Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφορά 

θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση αρμόδιων 

κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλαδή 

παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκησης, είτε 

μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ). 

Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό 

τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Επιχειρησιακό 

Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και “Ψηφιακή 

Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρηματοδότηση 

από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επενδύσεων 

κλπ.). 

Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής: 

1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφοριακών 

και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 

Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το οργανωτικό 

σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα αρμόδια 

κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του e-Government 

Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα διαδικασία. 

2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών 

Υποδομών 

Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστιτούτο 

θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστήριξη 

του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνωμόνων 

και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο λειτουργικό 

σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική τεχνογνωσία), η 

συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρακτήρα, στον οποίο 

ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, όσο για λόγους χρηματοδότησης, 

το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του διαδόχου του Επιχειρησιακού 

Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελματική Κατάρτιση), καθώς 

και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνολογίας). 

3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε. 

Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις της 

εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυξηθεί 

στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά λόγω της 

εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών ασφάλειας που 

εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι αμιγώς διαχειριστικός 

και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους του Επιχειρησιακού 

Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”). 



23



4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών 

Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτεραιότητας. 

Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης ό- 

λων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώρας, 

με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ολοένα 

και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός και η χρηματοδότησή 

του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμματος “Διοικητική 

Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”). 

5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών 


Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτήρα. 

Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να βασίζεται 

σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υποδομής 

αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επιλεγεί. 

Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής μπορεί να 

γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχήματος το οποίο 

θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό που κατά κανόνα 

παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργίας του. Πρόκειται, 

προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτιμάται ότι μπορεί ευλόγως 

να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή Σύγκλιση”. 

Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται επιγραμματικά στον Πίνακα IV. 

ΠΙΝΑΚΑΣ ΙV: Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ 

ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ 

ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα 

Ίδρυση Φορέα/Υπηρεσίας Προστασίας 

Κρίσιμων Πληροφοριακών 

και Επικοινωνιακών Υποδομών 

της Δημόσιας Διοίκησης 

Θεσμική 

(εισήγηση Συμβουλίου 

e-Government Forum) 

Υψηλή 

Κρατικός Προϋπολογισμός 

Ίδρυση Ερευνητικού 

Ινστιτούτου Προστασίας 

Κρίσιμων Πληροφοριακών και 

Επικοινωνιακών Υποδομών 


(πρόταση Συμβουλίου 


Υψηλή 

Ε.Π. Υπουργείου Παιδείας 

Ε.Π. Υπουργείου Ανάπτυξης 

(Γενική Γραμματεία 

Έρευνας και Τεχνολογίας) 

Ασφάλεια Πολυκέντρου 

Δεδομένων της Κοινωνίας της 

Πληροφορίας Α.Ε. 

Διαχειριστική 

(απόφαση ΚτΠ ΑΕ) 

Πολύ υψηλή 

Ε.Π. Κοινωνία της 

Πληροφορίας 

Ε.Π. Ψηφιακή Σύγκλιση 

Εντοπισμός Κρίσιμων 

Ελληνικών Υποδομών 



Υψηλή 

Ε.Π. Διοικητική 

Μεταρρύθμιση 


Τεχνολογική υποδομή Φορέα 

Προστασίας Κρίσιμων Πληροφοριακών 

και Επικοινωνιακών 

Υποδομών της Δημόσιας 




Υψηλή 




24



1 

Εισαγωγή και στόχοι του έργου 



25



1. Εισαγωγή και στόχοι του έργου 

Η ραγδαία διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση (ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων 

πληροφοριακών συστημάτων και της διάχυσης και συνδυαστικής αξιοποίησης των ευρυζωνικών 

επικοινωνιακών υποδομών, επέφερε σημαντικές και πολλαπλές επιπτώσεις. Μια από τις βασικότερες 

από αυτές είναι η μετατόπιση του κέντρου βάρους των ζητημάτων ασφάλειας, το οποίο μετακινήθηκε 

από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσιμων πληροφοριακών και 

επικοινωνιακών υποδομών. 

Ειδικότερα, το διακύβευμα της προστασίας τείνει να μην είναι πλέον μόνον (ή κυρίως) τα ολοκληρωμενα 

πληροφοριακά συστήματα, αλλά πρωτίστως οι κρίσιμες πληροφοριακές και οι επικοινωνιακές 

υποδομές. Αυτό ισχύει, δεδομένου ότι μέσω των υποδομών αυτών καθίσταται δυνατή και από αυτές 

εξαρτάται, συχνά σε μεγάλο βαθμό, η λειτουργία των πληροφοριακών συστημάτων της ΔΔ. 

Η ΚτΠ Α.Ε., αναγνωρίζοντας τη σπουδαιότητα του ως άνω ζητήματος, συγκρότησε Ομάδα Εργασίας 

με στόχο τη μελέτη και ανάπτυξη ενός πλαισίου εθνικής πολιτικής προστασίας των κρίσιμων ΠΕΥ 

ΔΔ. Οι βασικοί στόχοι της Ομάδας Εργασίας ήσαν: 

(1). Να προωθήσει τη σύζευξη των ΤΠΕ με τη διοικητική δράση, προδιαγράφοντας τις αναγκαίες οργανωτικές 

παρεμβάσεις και τα αντίστοιχα οργανωτικά σχήματα που είναι αναγκαία για την αποτελεσματική 

προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας 

Διοίκησης. 

(2). Να αξιοποιήσει αποτελεσματικά την τεχνογνωσία που υπάρχει στην ακαδημαϊκή και επιχειρηματική 

κοινότητα, και αφορά την προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών. 

(3). Να προτείνει δράσεις που αξιοποιούν τις δυνατότητες του επιχειρηματικού τομέα του χώρου των 

ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υποστήριξη 

των προταθησόμενων οργανωτικών υποδομών και σχημάτων της Δημόσιας Διοίκησης. 

Για την επίτευξη των ως άνω στόχων αξιοποιήθηκε κατάλληλη επιστημονική μεθοδολογία και αναλήφθηκαν 

οι εξής βασικές δράσεις: 

(1). Καταγραφή των οργανωτικών σχημάτων προστασίας πληροφοριακών και επικοινωνιακών υποδομών 

και διαχείρισης κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας Διοίκησης, 

καθώς και των επιχειρησιακών πρακτικών που αφορούν τις κρίσιμες υποδομές. 

(2). Καταγραφή και συνοπτική αποτίμηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουργούν 

διεθνώς και αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών. 

(3). Εντοπισμός και συνοπτική περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών 

της Δημόσιας Διοίκησης. 

(4). Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε 

στρατηγικό, όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων 

πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης. 

(5). Διερεύνηση των δυνατοτήτων διαλειτουργικότητας του οργανωτικού αυτού σχήματος με αντίστοιχα 

σχήματα που αφορούν την Εθνική Άμυνα και τη Δημόσια Τάξη, καθώς και τυχόν διεθνείς 

οργανισμούς σχετικής στόχευσης. 

(6). Συστηματική διερεύνηση της δυνατότητας ουσιαστικής τεχνικής συμβολής και υποστήριξης του 

επιχειρηματικού τομέα του χώρου των ΤΠΕ για την υλοποίηση και τεχνική υποστήριξη του οργανωτικού 

αυτού σχήματος. 

(7). Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, 

είτε εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. 

(8). Δημόσια παρουσίαση και κριτική αξιολογηση των αποτελεσμάτων του έργου της Ομάδας Εργασίας, 

με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. 



26



2 

Εννοιολογική οριοθέτηση και 

μέθοδος εργασίας 



27



2. Εννοιολογική οριοθέτηση και μέθοδος εργασίας 

2.1 Εννοιολογική οριοθέτηση 

Για την προσέγγιση του ζητήματος που μας απασχολεί αξιοποιούμε μια σειρά εννοιών, τις οποίες ο- 

ρίζουμε ως εξής [Γκρ-04, Γκρ-07, ISO-13335, ISO-73, NCIAP-04, NIST-02]: 

Αγαθό (Asset): Ανθρώπινοι ή/και άυλοι πόροι, οι οποίο είναι ευλόγως σκόπιμο να προστατευθούν, 

μεταξύ άλλων λόγω και της εγγενούς σημασίας/χρησιμότητάς τους. 

Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη 

ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της Διοίκησης, της Οικονομίας, της 

Κοινωνίας ή/και άλλων υποδομών. 

Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, 

διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών 

ή στην ομαλή λειτουργία της Δημόσιας Διοίκησης ή/και της Οικονομίας. 

Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών, 

υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών. 

Κρίσιμη ΠΕΥ (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό 

σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων 

υποδομών. 

Προστασία Κρίσιμης ΠΕΥ (Critical Information and Communication Infrastructure Protection): 

Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας 

Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της 

υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε 

εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα. 

Συστατικά ΠΕΥ (Στοιχεία ΠΕΥ): Δίκτυα επικοινωνίας, λογισμικό, υλικό, υπηρεσίες, ανθρώπινο 

δυναμικό ή οποιοδήποτε άλλο μέσο αξιοποιείται για την αποτελεσματική διαχείριση μιας ΠΕΥ. 

Ακεραιότητα ΠΕΥ (Integrity): Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφοριακής 

και επικοινωνιακής υποδομής. 

Εμπιστευτικότητα ΠΕΥ (Confidentiality): Αποφυγή αποκάλυψης των πληροφοριών που διακινούνται 

σε μία πληροφοριακή και επικοινωνιακή υποδομή χωρίς την άδεια του ιδιοκτήτη τους. 

Διαθεσιμότητα ΠΕΥ (Availability): Αποφυγή μη εύλογων καθυστερήσεων στην εξουσιοδοτημένη 

προσπέλαση των πόρων μιας πληροφοριακής και επικοινωνιακής υποδομής. 

Ασφάλεια ΠΕΥ (Information and Communication Infrastructure Security): Τήρηση της εμπιστευτικότητας, 

ακεραιότητας και διαθεσιμότητας των κάθε είδους πόρων 13 μίας πληροφοριακής και επικοινωνιακής 

υποδομής. 

Παραβίαση ΠΕΥ (Violation): Γεγονός κατά το οποίο προσβλήθηκαν μία ή περισσότερες από τις ιδιότητες 

διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα μιας πληροφοριακής και επικοινωνιακής υ- 

ποδομής. 

Απειλή (Threat): Πιθανή ενέργεια ή γεγονός που μπορεί να προκαλέσει την απώλεια κάποιου χαρακτηριστικού 

της ασφάλειας μιας πληροφοριακής και επικοινωνιακής υποδομής. 

Τρωτότητα ΠΕΥ (Ευπάθεια) (Vulnerability): Σημείο μιας πληροφοριακής και επικοινωνιακής υποδομής 

που μπορεί να επιτρέψει να συμβεί μία παραβίαση. 

Επίπτωση (Impact): Απώλεια μίας αξίας, η αύξηση του κόστους ή άλλη ζημία που θα μπορούσε να 

προκύψει ως συνέπεια μιας συγκεκριμένης παραβίασης μιας πληροφοριακής και επικοινωνιακής 

υποδομής. 

13 Για τους οποίους έχουν έννοια οι προαναφερθείσες ιδιότητες. 



28



Μέσο Προστασίας (Έλεγχος) ΠΕΥ (Safeguard - Control): Διαδικασία ή τεχνικό μέτρο που αποσκοπεί 

να εμποδίσει μία παραβίαση ή να μειώσει τις επιπτώσεις της σε μια πληροφοριακή και επικοινωναική 

υποδομή. 

Κρίσιμη Υποδομή (ΚΥ) ή Υποδομή Ζωτικής Σημασίας (ΥζωΣ): Ύποδομή, της οποίας η μη ασφαλής 

λειτουργία έχει ζωτικές επιπτώσεις στην εξασφάλιση των πρωταρχικών αγαθών των πολιτών της 

κοινότητας, όπως - ενδεικτικά και όχι περιοριστικά - η υγεία, η ασφάλεια κλπ. 

Επικινδυνότητα ΠΕΥ (Risk): Tο ενδεχόμενο μια δεδομένη απειλή να αξιοποιήσει την τρωτότητα 

κάποιων αγαθών και να προκαλέσει βλάβη σε μια ΠΕΥ. 

Ανάλυση επικινδυνότητας ΠΕΥ (Risk analysis): Η συστηματική αξιοποίηση πληροφοριών για την 

αναγνώριση των πόρων μιας ΠΕΥ και για την εκτίμηση της επικινδυνότητάς τους. 

Διαχείριση επικινδυνότητας ΠΕΥ (Risk management): H διαδικασία στάθμισης εναλλακτικών 

μέσων ασφάλειας, σε συνεννόηση με τους εμπλεκόμενους και λαμβάνοντας υπόψη τα αποτελέσματα 

της ανάλυσης επικινδυνότητας και το ισχύον νομικό πλαίσιο, προκειμένου να επιλεγούν τα καταλληλότερα 

μέσα ασφάλειας μιας ΠΕΥ. 

Στο Σχήμα 1 παρέχεται, με τη μορφή μιας αδρής οντολογίας, το πλέγμα των αλληλεξαρτήσεων μεταξύ 

εκείνων από τις άνω ορισθείσες έννοιες, οι οποίες σχετίζονται με την κεντρική έννοια της επικινδυνότητας. 

2.2 Μέθοδος εργασίας 

Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07] 

Για την επίτευξη των στόχων της ομάδας εργασίας CICIP αναπτύχθηκε και αξιοποιήθηκε μια κατάλληλη 

επιστημονική μέθοδος η οποία περιλαμβάνει τα εξής βήματα και δράσεις: 

Βήμα 1: 

Καταγραφή και αξιολόγηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουργούν διεθνώς και 

αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών. 

Εκπονήθηκε μια εκτενής και αναλυτική επισκόπηση οργανωτικών σχημάτων CICIP που έχουν αναπτυχθεί 

σε διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και σχετικές δράσεις και πρωτοβουλίες 

από διάφορους εθνικούς ή/και διεθνείς oργανισμούς. Σε βάθος ανάλυση πραγματοποιήθηκε για τις ε- 



29



Μελέτη διεθνών οργανωτικών 

σχημάτων για την προστασία 

κρίσιμων ΠΕΥ 

Μελέτη τρέχοντος 

οργανωτικού πλαισίου 

και πρακτικών 

Εντοπισμός κρίσιμων 

ΠΕΥ της Δημόσιας 


Αξιολόγηση 

των ΠΕΥ ΔΔ 

ως προς την κρισιμότητα 

Οργανωμένη 

διαβούλευση 

Προδιαγραφή 

οργανωτικού 

σχήματος 

Δημόσια παρουσίαση 

& κριτική αξιολόγηση 

αποτελεσμάτων 

ξής χώρες: Γερμανία, Ελβετία, Ηνωμένο Βασίλειο, Ολλανδία, Σουηδία, 

ΗΠΑ, Νέα Ζηλανδία, Καναδάς. Αυτές επιλέχθηκαν καθώς εκτιμήθηκε 

ότι εμφανίζουν μεγαλύτερο βαθμό ωριμότητας, καθώς και επιστημονικό 

ενδιαφέρον. Επιπλέον, εξετάστηκαν προγράμματα και οργανισμοί 

της Ευρωπαϊκής Ένωσης, αλλά και το Forum of Incident Response 

and Security Teams (FIRST). 

Η καταγραφή σκόπευε να εντοπίσει ανά χώρα (α) ορισμούς εννοιών 

CICIP (critical sector definitions), (β) παλιές και νέες πρωτοβουλίες 

CICIP - ύπαρξη πολιτικής ή/και στρατηγικού σχεδιασμού (CICIP initiatives 

και policy), (γ) oργανωτικές δομές και σχήματα (Organisational 

structures), (δ) μηχανισμούς προειδοποίησης και προσέγγισης κοινού 

(Early warning and public outreach) και (ε) νομοθετικό και κανονιστικό 

πλαίσιο. Αξιολογήθηκε η προσέγγιση που ακολουθεί κάθε χώρα, 

ενώ έγινε σύγκριση βάση κριτηρίων, όπως η ύπαρξη εθνικής 

στρατηγικής (national compelling strategy), η ύπαρξη σαφών ορισμών, 

η προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι 

απλή αντιγραφή υπαρχόντων ώριμων μοντέλων (π.χ. ΗΠΑ), ο συνυπολογισμός 

και η συνεισφορά του ιδιωτικού τομέα, ο βαθμός οργάνωσης 

και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα και τέλος ο 

βαθμός διαφάνειας του κάθε εθνικού συστήματος για CICIP. 

Βήμα 2: 

Καταγραφή των οργανωτικών σχημάτων προστασίας ΠΕΥ και διαχείρισης 

κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας 

Διοίκησης, καθώς και των επιχειρησιακών πρακτικών που αφορούν τις 

κρίσιμες υποδομές. 

Στο στάδιο αυτό αναζητήθηκαν οι οργανισμοί και φορείς που μπορεί 

να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης και έχουν ρόλο που σχετίζεται με τη 

CICIP ή την ασφάλεια γενικότερα. Η καταγραφή συμπεριέλαβε (α) εποπτικούς/κανονιστικούς φορείς, 

(β) ρυθμιστικούς φορείς ασφάλειας και (γ) φορείς/ιστοχώρους ενημέρωσης για θέματα CICIP στον 

ελληνικό χώρο. Στόχος ήταν να αναζητηθούν φορείς που ήδη καθορίζουν στρατηγική ή έχουν ρόλο 

που σχετίζεται τόσο με την προστασία κρίσιμων ΥΠΕ, όσο και γενικότερα με την ασφάλεια και οι ο- 

ποίοι ενδεχομένως να πρέπει να ληφθούν υπόψη κατά τον μετέπειτα σχεδιασμού του οργανωτικού 

σχήματος. Εντοπίστηκαν το πεδίο δράσης και ο ρόλος του κάθε φορέα (π.χ. Πιστοποίηση προϊόντων 

και υπηρεσιών ασφαλείας, Παροχή προϊόντων-υποδομών ασφαλείας, Ρυθμίσεις, Κανονισμοί. Έλεγχοι 

εφαρμογής θεσμικού πλαισίου κλπ.) και τα στοιχεία αυτά αναπαραστάθηκαν με τη μορφή συγκριτικών 

πινάκων. 

Βήμα 3: 

Εντοπισμός και περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας 

Διοίκησης. 

Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν θα 

ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την 

κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους. 

Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική 

προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπηρεσίες 

14 , ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπηρεσίες 

αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες 

14 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μέθοδο. Έτσι, 

είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών-μελών της E.E. στην ανάπτυξη των ίδιων υ- 

πηρεσιών ηλεκτρονικής διακυβέρνησης. Στην Ελλάδα οι υπηρεσίες αυτές αξιολογούνται, ως προς το επίπεδο ωρίμανσής 

τους, από το Παρατηρητήριο για την Κοινωνία της Πληροφορίας. 



30



ΠΕΥ της ΔΔ, με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων 

ανάπτυξης και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων. Οι υποψήφιες 

ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω συνεντεύξεων που διεξήχθησαν 

μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της ΚτΠ Α.Ε., τα οποία διετέλεσαν 

ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ. Πιο συγκεκριμένα, α- 

ντικείμενο μελέτης για κάθε ΠΕΥ αποτέλεσαν τα εξής: 

• Στοιχεία ταυτότητας έργου/ΠΕΥ 

• Αρχιτεκτονικές ΠΕΥ (Πληροφοριακού Συστήματος/Δικτύου) 

• Παρεχόμενες υπηρεσίες 

• Συνδεόμενοι/εξαρτώμενοι φορείς ή άλλα ΟΠΣ/ΠΕΥ 

• Μελέτη Ασφάλειας 

Βήμα 4: 

Αξιολόγηση των ΠΕΥ της Δημόσιας Διοίκησης ως προς την κρισιμότητα 

Επόμενος στόχος ήταν η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των ΠΕΥ της ελληνικής 

Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα βήματα, ως 

προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγηση. 

Η μέθοδος που επιλέχθηκε επιτρέπει τη δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής 

σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας). Μια αναλυτικότερη και ακριβέστερη προσέγγιση, 

συνοδευόμενη με βαθμονόμηση κρίσιμων ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μεταγενέστερο 

έργο. 

Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύριοι 

παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι 

απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας 

και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπισμός 

τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως είναι 

ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου. Με βάση τη μελέτη της σχετικής εμπειρίας 

και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις προτάσεις που προηγήθηκαν, η μέθοδος 

που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται 

σε δύο (2) παραμέτρους: 

1. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγησαν 

10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της διεθνούς βιβλιογραφίας 

(μεθοδοι ανάλυσης επικινδυνότητας και ανάλυσης κρισιμότητας). 

2. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια 

κλίμακα Likert, με τιμές: {Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. H επιλογή πενταβάθμιας 

κλίμακας, αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας, 

έγινε για να μπορεί να απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορισμένων 

επιπτώσεων, δεδομένων των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέλειας), 

σε σύγκριση με τις αντίστοιχες διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετραβάθμια 

ή εξαβάθμια κλίμακα δεν είχε κάτι πραγματικά ουσιαστικό να συνεισφέρει στη διαφοροποίηση 

της έντασης των επιπτώσεων. 

Η διαδικασία χαρακτηρισμού των ΠΕΥ ως κρίσιμων βασίστηκε στο συνδυασμό της έντασης κάθε 

επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση το θεωρητικά 

εκτιμώμενο “δυσμενέστερο ενδεχόμενο” 15 (worst-case scenario). Η διαδικασία επιλογής των 

κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρακτηρισμό αυτό, δεν βασίστηκε 


επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, 

αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη. 



31



σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης 

(professional judgement). Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές 

και επικοινωνιακές υποδομές της ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις 

οποίες ένα τουλάχιστον από τα κριτηρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή. 

Βήμα 5: 

Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε ε- 

κτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. 

Απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/προστασίας υποδομών της 

κλίμακας και κρισιμότητας των ΠΕΥ ΔΔ, είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων 

μερών, ιδιωτών και δημοσίου τομέα. Στόχος της διαβούλευσης είναι η παρουσίαση σε συγκεκριμένα 

πρόσωπα-κλειδιά των πρώτων αποτελεσμάτων της ομάδας εργασίας για μια αρχική αξιολόγηση, 

αλλά και για γόνιμο σχολιασμό από εμπειρογνώμονες, τόσο σε σχέση με τις ΤΠΕ, όσο και με τη δημόσια 

διοίκηση αλλά και την προστασία κρίσιμων υποδομών. Η διαβούλευση οργανώθηκε σε τέσσερις 

φάσεις. 

Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση 

Η επιλογή των εμπειρογνωμόνων δεν έγινε με ad hoc τρόπο, αλλά μέσω μεθοδευμένων βημάτων. 

Αρχικά προσδιορίστηκαν οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ (η μέθοδος προσδιορίστηκε στο Βήμα 3). 

Για κάθε ΠΕΥ ΔΔ που εντοπίστηκε, προσδιορίστηκαν και κατηγοριοποιήθηκαν τα εμπλεκόμενα 

μέρη. Εξεταστήκαν συνολικά οι εξής κατηγορίες εμπλεκομένων: 

• Παρόχων Δικτύων, Υπηρεσιών, Συστημάτων, Εφαρμογών, Προϊόντων Προστασίας 

• Χρηστών των υποδομών και παρόχων υπηρεσιών ΔΔ 

• Κανονιστικών αρχών 

• Φορέων σχετικών με ασφάλεια-προστασία 

Στη συνέχεια, οι ρόλοι-εμπλεκόμενοι ταυτοποιήθηκαν σε ανθρώπους-κλειδιά για επαφή και συνεργασία 

με την Ομάδα Εργασίαςς. Στη φάση αυτή η ομάδα υποστηρίχθηκε από την ΚτΠ, αλλά αξιοποίησε 

και προηγούμενες συνεργασίες των συμμετεχόντων στην Ο.Ε. με εμπλεκομένους. Επίσης, θα πρέπει 

να ληφθεί υπόψη το γεγονός ότι στη σύνθεση της ομάδας υπάρχει ήδη σημαντική εκπροσώπηση 

των φορέων αυτών. 

Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων 

Στην επόμενη φάση συντάχθηκαν τρείς τύποι ερωτηματολογίων για τη συλλογή πληροφορίας και τη 

εξαγωγή κάποιων πρώτων συμπερασμάτων. Πιο συγκεκριμένα, συντάχθηκαν τα εξής: 

• Ερωτηματολόγιο Ε1: Aπευθύνεται σε Π/Α υποδομής και υπηρεσιών και στοχεύει στη σκιαγράφηση 

του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φορέων σε σχέση με την 

προστασία ΥΠΕ. 

• Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο είχε 

να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφάλειας 

αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματολογίων 

χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρισιμότητα 

των ΠΕΥ (Βήμα 4). 

• Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξαγάγει 

συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος (Βήμα 6). 

Φάση 3: Συλλογή-επεξεργασία απαντήσεων 

Μετά τη συλλογή των ερωτηματολογίων, ακολούθησε επεξεργασία ώστε να αποτυπωθούν νέα συμπεράσματα 

και να εκτιμηθούν τα σχόλια που αφορούσαν τα τρέχοντα ευρήματα της Ομάδας Εργασίας. 



32



Σημειώνεται ότι η επεξεργασία και δημοσίευση των αποτελεσμάτων αυτής της φάσης έγιναν με ανώνυμο 

τρόπο. 

Φάση 4: Διοργάνωση ημερίδας (workshop) 

Στόχος της ημερίδας είναι να παρουσιαστούν τα πρώτα αποτελέσματα εργασίας και να γίνει ανταλλαγή 

απόψεων μεταξύ των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτικό 

τομέα, οι οποίοι έχουν ώριμη αντίληψη για τέτοιου είδους υποδομές. Στην ημερίδα έγινε πρόσκληση 

για συμμετοχή σε μέρος των εμπλεκομένων που συμμετείχαν στις προηγούμενες φάσεις, νέων 

εμπλεκομένων, αλλά και ειδικών επιστημόνων που κρίνεται ότι η παρουσία τους μπορεί να συμβάλλει 

περαιτέρω στο έργο της Ομάδας Εργασίας. 

Η ημερίδα οργανώθηκε σε τρεις θεματικές περιοχές - συνόδους εργασίας: 

• Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και εποπτικοί 

φορείς στην Ελλάδα και διεθνώς 

• Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητήματα Ασφάλειας 

• Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 

στην Ελλάδα 

Βήμα 6: 

Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε στρατηγικό, 

όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων πληροφοριακών 

και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης. 

Με βάση τα αποτελέσματα των Βημάτων 1 και 2, αλλά και τα συμπεράσματα που προέκυψαν από τις 

αρχικές φάσεις της διαβούλευσης σχεδιάστηκε ένα οργανωτικό σχήμα σε στρατηγικό και επιτελικό ε- 

πίπεδο. Στόχος είναι η προστασία των κρίσιμων ΠΕΥ ΔΔ μέσω ενός ευέλικτου οργανωτικού σχήματος, 

το οποίο θα λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες πρακτικές 

σε διεθνές επίπεδο, αλλά ταυτόχρονα θα είναι προσαρμοσμένο στην ελληνική πραγματικότητα, 

λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο. 

Ο σχεδιασμός του σχήματος είναι προϊόν διαδοχικών συναντήσεων εργασίας της Ο.Ε. Αρχικά προσδιορίστηκαν 

οι ρόλοι που θα πρέπει να πληρούνται, οι αρμοδιότητες και οι διασυνδέσεις με άλλους 

φορείς. Στη συνέχεια εξετάστηκαν οι διάφορες σχεδιαστικές επιλογές σε σχέση με την ιεραρχική δομή, 

τη νομική φύση και την αντιστοίχηση, στο βαθμό του δυνατού, με υπάρχοντες φορείς. Σε αυτή τη 

διαδικασία συνεχών επαναλήψεων και ανατροφοδοτήσεων ελήφθησαν υπόψη και οι απόψεις που διατυπώθηκαν 

από τους συμμετέχοντες στην ημερίδα και αξιοποιήθηκε και η εμπειρία των μελών της 

Ο.Ε. 

Βήμα 7: 

Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της Ομάδας Εργασίας, με 

τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. 

Η παρουσίαση των αποτελεσμάτων της Ο.Ε. θα γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας, 

αλλά και των παραδοτέων στον ιστότοπο της ομάδος. Παράλληλα, θα γίνει προσπάθεια παρουσίασης 

των αποτελεσμάτων και σε ημερίδες, διοργανώσεις ή άλλα γεγονότα που σχετίζονται με τις 

ΤΠΕ και τη Δημόσια Διοίκηση. 

Η συνολική δομή της μεθόδου που ακολούθησε η Ομάδα Εργασίαςς απεικονίζεται συνοπτικά στο 

Σχήμα 2. 



33



Σχήμα 2: Μέθοδος εργασίας O.E. CICIP 



34



3 

Οργανωτικά Σχήματα Προστασίας 

Πληροφοριακών και Επικοινωνιακών 

Υποδομών και Διαχείρισης Κρίσεων 



35



3. Οργανωτικά Σχήματα Προστασίας Πληροφοριακών και Επικοινωνιακών 

Υποδομών και Διαχείρισης Κρίσεων 

3.1 Εισαγωγή 

Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση διεθνών οργανωτικών σχημάτων CICIP που 

έχουν αναπτυχθεί από διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και από διάφορους εθνικούς 

ή/και διεθνείς Οργανισμούς. 

3.2 Κρίσιμες Υποδομές και προσεγγίσεις CICIP 

3.2.1 Κρίσιμες Υποδομές 

Σύμφωνα με τα αναφερόμενα στα [Abe-06, EC-04, EC-05, HSC-07], ως εξορισμού κρίσιμες υποδομές 

θεωρούνται, κατ’ αρχήν και πριν την αναγκαία περαιτέρω και επισταμένη μελέτη, οι ακόλουθες: 

• Ενέργεια (π.χ. ηλεκτρική ενέργεια, παραγωγή πετρελαίου και αερίου, εγκαταστάσεις αποθήκευσης 

και διυλιστήρια, συστήματα μετάδοσης και διανομής) 

• Τεχνολογίες Πληροφορικής και Επικοινωνιών (π.χ. τηλεπικοινωνίες, συστήματα εκπομπής, λογισμικό, 

υλικό, και δίκτυα, συμπεριλαμβανομένου του Διαδικτύου) 

• Οικονομία (π.χ. τραπεζική, διαχείριση αξιών, και επενδύσεις) 

• Υγεία (π.χ. νοσοκομεία, εγκαταστάσεις υγείας και παροχής αίματος, εργαστήρια και φαρμακευτικά 

παρασκευάσματα, αναζήτηση και διάσωση, υπηρεσίες εκτάκτων περιστατικών) 

• Τρόφιμα (π.χ. ασφάλεια, μέσα παραγωγής, διανομή χονδρικής και βιομηχανία τροφίμων) 

• Νερό (π.χ. φράγματα, αποθήκευση, διαχείριση και δίκτυο διανομής) 

• Μεταφορές (π.χ. αεροδρόμια, λιμάνια, σιδηρόδρομοι και δίκτυα μαζικής μεταφοράς, συστήματα 

ελέγχου κυκλοφορίας) 

• Παραγωγή, αποθήκευση και διακίνηση επικίνδυνων αγαθών (π.χ. χημικά, βιολογικά, ραδιενεργά 

και πυρηνικά υλικά) 

• Κυβερνητικές Υποδομές (π.χ. κρίσιμες υπηρεσίες, εγκαταστάσεις, δίκτυα πληροφοριών, αγαθά 

και κύρια εθνικά μνημεία και τόποι) 

• Υπηρεσίες διαχείρισης επειγόντων περιστατικών/διάσωσης 

• Διάστημα 

• Ερευνητικές εγκαταστάσεις 

3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP 

Σύμφωνα με το [Sut-07], το πρώτο βήμα προς την κατεύθυνση μιας αποδοτικής και αποτελεσματικής 

οργανωσιακής μονάδας (organizational unit) CICIP είναι ο ορισμός των θεμελιωδών προτεραιοτήτων 

και υπευθυνοτήτων. Αυτά τα ουσιώδη καθήκοντα μπορούν να οργανωθούν σε ένα «Μοντέλο Τεσσάρων 

Πυλώνων CICIP». Οι τέσσερις (4) αυτοί βασικοί πυλώνες είναι: 

• Πρόληψη και Προειδοποίηση (Prevention and Early Warning): Πρόκειται για δραστηριότητες 

που αυξάνουν την ετοιμότητα των εταιριών, που χειρίζονται κρίσιμες υποδομές, ώστε να μπορούν 

να αντιμετωπίσουν περιστατικά. 

• Ανίχνευση (Detection): Περιλαμβάνει ενέργειες που σχετίζονται με τη δυνατότητα άμεσης ανακάλυψης 

νέων απειλών, αλλα και μη εμφανών περιστατικών προσβολής της ασφάλειας, καθώς 

και τη συνεργασία CERTs/CSIRTs, για την αποτελεσματική αντιμετώπισή τους. 



36



• Αντίδραση (Reaction): Αναφέρεται στην αναγνώριση και διόρθωση των αιτίων που προκαλούν 

την αναστάτωση. 

• Διαχείριση Κρίσεων (Crisis Management): Αναφέρεται στην ελαχιστοποίηση των επιπτώσεων, 

από μια κρίση, στην κοινωνία και στο κράτος. 

Το Σχήμα 3 απεικονίζει διαγραμματικά τα προαναφερθέντα. 

3.2.3 Προσεγγίσεις CIP 

Σχήμα 3: Πυλώνες CICIP [Sut-07] 

Σύμφωνα με το [BSI-04a], υπάρχουν δύο γενικές διαπιστώσεις αναφορικά με την προστασία των κρίσιμων 

υποδομών, παγκοσμίως: 

1. Είναι αδύνατο να επιτευχθεί 100% ασφάλεια των κρίσιμων υποδομών. 

2. Δεν υπάρχει ένας μοναδικός-ιδανικός τρόπος για να αντιμετωπιστεί σε κάθε χώρα το πρόβλημα. 

Παρά το γεγονός ότι οι προσεγγίσεις που υιοθετούνται είναι ετερογενείς, υπάρχουν τρεις κύριες 

κατηγορίες προσεγγίσεων που μπορούν να αναγνωριστούν: 

1. Προσέγγιση «Critical Information Infrastructure Protection (CICIP): Αναφέρεται αποκλειστικά 

στην ασφάλεια και την προστασία των IT συνδέσεων και των IT λύσεων ανάμεσα στους διαφορετικούς 

τομείς υποδομών. Η προστασία των φυσικών στοιχείων των υποδομών διασφαλίζεται μεσα 

από ξεχωριστό οργανωσιακό πλαίσιο. Οι λειτουργίες και οι δικαιοδοσίες που σχετίζονται με 

CIP είναι διάσπαρτες ανάμεσα σε διαφορετικά όργανα. Γίνονται προσπάθειες για την ενσωμάτωση 

του ιδιωτικού τομέα σε όλα τα επίπεδα CIP, σε στοιχειώδες επίπεδο όμως. 

2. Προσέγγιση «All Hazards»: Αναφέρεται τόσο στην ασφάλεια των IT υποδομών όσο και στη φυσική 

ασφάλεια των κρίσιμων υποδομών. Η φυσική ασφάλεια αποτελεί μέρος του εθνικού μοντέλου 

πολιτικής προστασίας και τα αρμόδια όργανα κεντρικού συντονισμού και στρατηγικής είναι 

ταυτόχρονα και κέντρα που έχουν επάρκεια και δικαιοδοσία τόσο σε ασφάλεια IT όσο και σε πολιτική 

προστασία και έλεγχο καταστροφών. Τα Υπουργεία Άμυνας της κάθε χώρας που ακολουθεί 

αυτή τη προσέγγιση κατέχουν προεξάρχοντα ρόλο, λόγω των συντονιστικών τους αρμοδιοτήτων. 

Η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα σε επίπεδο στρατηγικού σχεδιασμού είναι 

πολύ αδύναμη, ως ανύπαρκτη. 

3. Άλλη προσέγγιση, όπως αυτή που ακολουθεί η Κίνα. Δεν υπάρχει καμία συνεργασία μεταξύ δημόσιου 

και ιδιωτικού τομέα. Το μοντέλο εξυπηρετεί λιγότερο την προστασία των κρίσιμων υπο- 



37



δομών και περισσότερο τη διατήρηση του συστήματος διακυβέρνησης και των οργάνων που αντιπροσωπεύουν 

τα συμφέροντα του συγκεντρωτικού Κράτους. 

3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων 

Σύμφωνα με το [BSI-04a], οι προαναφερθείσες προσεγγίσεις μπορούν να αξιολογηθούν με βάση συγκεκριμένα 

κριτηρία, όπως: 

• Ύπαρξη εθνικής στρατηγικής (national compelling strategy) για την προστασία των κρίσιμων υ- 

ποδομών. 

• Ύπαρξη ξεκάθαρων ορισμών αναφορικά με το τι σημαίνει «προστασία κρίσιμων υποδομών». 

• Προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι απλή αντιγραφή υπαρχόντων 

ώριμων μοντέλων (π.χ. ΗΠΑ). 

• Συνυπολογισμός και συνεισφορά του ιδιωτικού τομέα. 

• Βαθμός οργάνωσης και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα. 

• Διαφάνεια του εθνικού συστήματος για CIP. 

3.3 Καταγραφή Οργανωτικών Σχημάτων 

3.3.1 Εισαγωγή 

Για την καταγραφή των οργανωτικών σχημάτων που ακολουθεί αξιοποιήθηκε η μελέτη [Abe-06], 

που περιλαμβάνει αναλυτική καταγραφή των κρίσιμων υποδομών και των οργανωτικών δομών που 

έχουν δημιουργηθεί σε έναν αριθμό από χώρες που έχουν επιλεγεί για αποτύπωση. 

Η συγκεκριμένη μελέτη, που επικαιροποιείται συνήθως κάθε δύο χρόνια με την προσθήκη νέων χωρών, 

εστιάζεται σε πέντε σημαντικά σημεία που καλύπτουν τόσο θεμελιώδη όσο και οργανωτικά θέματα: 

• Ορισμός κρίσιμων τομέων (critical sector definitions): Προσδιορισμός των κρίσιμων τομέων για 

κάθε χώρα που περιγράφεται στη μελέτη και ορισμοί σχετικά με CII και CICIP από την εκάστοτε 

χώρα (όπου υπάρχουν διαθέσιμοι). 

• Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική (CICIP initiatives και policy): 

Επισκόπηση των πιο σημαντικών βημάτων που έχουν γίνει, σε κυβερνητικό επίπεδο, από το 1990 

και μετά, για το χειρισμό θεμάτων CICIP, που ακολουθείται από την κάθε χώρα της μελέτης. Η 

μελέτη εστιάζεται σε πρωτοβουλίες (initiatives) και στα κύρια στοιχεία μιας πολιτικής CICIP. 

Αυτό περιλαμβάνει: α) συγκεκριμένες επιτροπές (committees and commissions), β) ομάδες κρούσης 

(task forces), γ) ομάδες εργασίας (working groups), δ) τα κύρια ευρήματα επίσημων αναφορών 

και μελετών (official reports and studies) και εθνικών προγραμμάτων (national programs). 

• Οργανωτικές δομές (Organisational structures): Επισκόπηση των σημαντικότερων δημόσιων οργανισμών 

(public actors) που έχουν συσταθεί στο εθνικό οργανωτικό πλαίσιο (national organizational 

framework) κάθε χώρας που εξετάζεται. Έμφαση δίνεται στις υπευθυνότητές τους σε κρατικό 

επίπεδο (state/federal level), όπως Υπουργεία (ministries), Εθνικά Γραφεία (national offices), 

Υπηρεσίες (agencies), Συντονιστικές Ομάδες (coordination groups κλπ. Επίσης, περιγράφονται οι 

συνεργασίες ιδιωτικού-δημόσιου τομέα (public-private partnerships). 

• Μηχανισμοί προειδοποίησης και προσέγγιση κοινού (Early warning and public outreach): Περιγραφή 

των εθνικών οργανισμών που είναι υπεύθυνοι για την έγκαιρη ειδοποίηση σε θέματα CIC- 

IP (CICIP early warning), δηλαδή οργανισμοί που είναι υπεύθυνοι για τη διαμοίραση πληροφορίας 

σχετικής με θέματα CICIP, όπως CERTs (Computer Emergency Response Teams), ISAC (Information 

Sharing and Analysis Centers), κλπ. Επιπλέον, περιγραφή συγκεκριμένων πλάνων για 

την ανάπτυξη περιεκτικών δομών έγκαιρης προειδοποίησης και αναφοράς συμβάντων (comprehensive 

early warning alert and incident report structures) καθώς και σχετικών πρωτοβουλιών ε- 

νημέρωσης του κοινού (public outreach initiatives). 



38



• Νομοθετικό και Κανονιστικό Πλαίσιο: Περιγραφή σημαντικής νομοθεσίας για την προώθηση θεμάτων 

σχετικά με CICIP, όπως ασφάλεια πληροφοριών, προστασία δεδομένων, καταστροφή δεδομένων, 

ηλεκτρονικές υπογραφές κλπ. 

3.3.2 Ευρώπη 

3.3.2.1 Γερμανία 

Ορισμός Κρίσιμων Τομέων 

Σύμφωνα με τα [Abe-06, BSI-04a, BSI-04b, BSI-05a, BSI-05b, BMI-05, η κεντρική ιδέα που διέπει 

τις δραστηριότητες CIP/CICIP είναι ότι κυβέρνηση και κοινωνία εξαρτώνται, σε μεγάλο βαθμό, από 

ασφαλείς υποδομές και το κράτος έχει υποχρέωση να διασφαλίσει την προστασία των κρίσιμων υποδομών. 

Το σύστημα πρόσβασης σε πληροφορίες σχετικά με CICIP δεν είναι ιδιαίτερα διαφανές. 

Προάγεται η συνεργασία δημόσιου και ιδιωτικού τομέα, δεδομένου ότι περισσότερο από το 90% των 

κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτικός τομέας. 

Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική 

Οι σχετικές δράσεις έχουν ξεκινήσει εδώ και 10 χρόνια και αναδύθηκαν με πρωτοβουλία του Federal 

Ministry of Interior (BMI), υποκινούμενες από την αναφορά «US President’s Commission on Critical 

Infrastructure Protection (PCCIP)» του 1997 (ΗΠΑ) και επιταχύνθηκαν μετά τα γεγονότα της 11.09. 

2001 στις ΗΠΑ. Αποτέλεσμα των δράσεων αυτών είναι δύο σημαντικά έγγραφα-κλειδιά παρουσιάστηκαν 

το 2005: 

• National Plan for Information Infrastructure Protection (NPSI): Σκοπεύει στην ενδυνάμωση της 

ασφάλειας ΙΤ στις εθνικές υποδομές που εξαρτώνται από αυτή και στη δυνατότητα άμεσης απόκρισης 

σε κρίσεις που σχετίζονται με ΙΤ. Αναπτύχθηκε από το CICIP-division του BSI (η συγκεκριμένη 

οργανωτική δομή θα περιγραφεί αναλυτικότερα παρακάτω). 

• Baseline Protection Concept for Critical Infrastructure Protection: Αναπτύχθηκε σε στενή συνεργασία 

μεταξύ των BMI, Federal Office for Civil Protection and Disaster Response (BBK), Federal 

Criminal Police Agency (BKA) και του ιδιωτικού τομέα. Παρέχει καθοδήγηση στην ανάλυση 

πιθανών κινδύνων (hazards) όπως τρομοκρατικές επιθέσεις, εγκληματικές ενέργειες και φυσικές 

καταστροφές, καθώς και συστάσεις για επαρκή προστατευτικά μέτρα. 

Πιο αναλυτικά, το «National Plan for the Protection of Information Infrastructures» (Nationaler Plan 

zum Schutz der Informationsinfrastrukturen – NPSI) προδιαγράφει τη στρατηγική της Γερμανίας σε 

θέματα ασφάλειας ΙΤ, με την ονομασία «IT security strategy for Germany» - Umbrella of the Federation’s 

IT Security Policy». Ο συντονισμός γίνεται σε διατμηματικό (interdepartmental) επίπεδο, και 

υιοθετήθηκε από την Ομοσπονδιακή Κυβέρνηση (Federal Government) στις 13 Ιουλίου 2005. Η ομάδα-στόχος 

είναι ολόκληρη η Γερμανική κοινωνία (Οικονομία, Ομοσπονδιακή διοίκηση, πολίτες, 

κλπ.) και περιλαμβάνει τρία πεδία: Αποτροπή (Prevention), Αντίδραση (Reaction), Βιωσιμότητα (Sustainability). 

Σημαντικές αναφορές/μελέτες που αναπτύχθηκαν είναι οι ακόλουθες: 

• Η ομάδα AG KRITIS (που θα περιγραφεί αναλυτικά παρακάτω) διενήργησε μια έρευνα το πρώτο 

μισό του 1998 σχετικά με την κατάσταση CICIP στη Γερμανία, ενώ το 2000 εκπόνησε τη μελέτη 

με τίτλο «Situation Analysis of Threats and Hazards». 

• Το φθινόπωρο του 2001 εκδόθηκε η αναφορά «Comprehensive Reports on Threats and Hazards» 

ενώ το 2002 το «Kirchbach Report». Στα μέσα του 2002, σε συνεργασία BMI, BSI, εκπονήθηκαν 

«Infrastructure Analysis Studies» ενώ τον Ιούλιο του 2005 εκδόθηκε το «Status Report on the IT 

Security Situation in Germany». Τον Σεπτέμβριο του 2005 έγινε η έκδοση του «Baseline Protection 

Concept for Critical Infrastructure Protection» από τους οργανισμούς BMI, BBK, BKA (περιγράφονται 

αναλυτικά παρακάτω). 



39



• Ακολούθησαν η καμπάνια «Security in the Internet» από τους BMI, BSI, Ministry of Economics, 

τα «IT Security Guidelines» από το BSI, το «BSI for the Citizen» (για θέματα ενημέρωσης και 

υποστήριξης των πολιτών, με κοινή πρωτοβουλία του Γερμανικού Υπουργείου Εσωτερικών-ΒΜΙ 

και του Αμερικάνικου US Department of Homeland Security). 

• Εκδόθηκαν τα «Secure e-Government», «BundOnline 2005» (από το BSI) και «E-Government 

Manual» (επίσης από το BSI). 

Οργανωτικές Δομές 

Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στη Γερμανία περιγράφονται αναλυτικά παρακάτω: 

Federal Ministry of Interior (BMI) 

Έχει τη συνολική ευθύνη και το συντονισμό των κύριων CIP/CICIP δραστηριοτήτων, σε συνεργασία 

με τις υφιστάμενες υπηρεσίες του Federal Office for Information Security (BSI), Federal Agency of 

Civil Protection και Disaster Response (BBK), Federal Law Enforcement Agency (BKA) και Federal 

Police (BPOL). 

Συντονίζει τις δράσεις αναφορικά με την ανάπτυξη και υλοποίηση στρατηγικής, σε συνεργασία με 

άλλα Υπουργεία και Υπηρεσίες, όπως Federal Ministry of Economics και Labour (ΒΜWA), Office 

of the Chancellor of the Federal Republic of Germany, Federal Ministry of Justice (BMJ), Federal 

Ministry of Foreign Affairs, Federal Ministry of Defense (BMVg) και Federal Network Agency. 

Στρατηγικοί εταίροι από τον ιδιωτικό τομέα έχουν συμβουλευτικό ρόλο για το ΒΜΙ, ενώ η Αρχή που 

είναι υπεύθυνη για θέματα σχετικά με ΙΤ είναι το Department IT 3 (Security of Information Systems) 

υπό την αιγίδα του Chief Information Officer του ΒΜΙ. 

Για το συντονισμό των δράσεων μεταξύ BMI και των υφιστάμενων υπηρεσιών ιδρύθηκε στο ΒΜΙ, το 

1999, το Task Force for Critical Infrastructure Protection (Project Group/PG AG KRITIS). Αποτελεί 

ανεξάρτητη υπηρεσία που λειτουργεί στην περιοχή ευθύνης του BMI. Αποτελείται από αντιπροσώπους 

άλλων Υπουργείων και μια Οργανωτική Επιτροπή (Steering Committee), ενώ διατηρεί μόνιμο 

γραφείο μέσα στο BSI. 

Στο AG KRITIS συμμετέχουν ειδικοί (experts) από συγκεκριμένες Διευθύνσεις Υπηρεσιών, όπως 

ΒΜΙ Division IS 5 (physical protection within the context of civil protection and disaster response), 

ΒΜΙ Division P II 1 (threat prevention within the context of law enforcement), ΒΜΙ Division IT 3 (all 

areas of IT and IT dependence), ΒΚΑ (fight against terrorism), BSI (protection of information technology) 

και BBK/BVA/THW (civil defense and protection of the population). 

Η κύρια αποστολή του AG KRITIS είναι: 

• Η περιγραφή πιθανών σεναρίων σχετικά με απειλές, στη Γερμανία. 

• Η εκπόνηση ανάλυσης ευπάθειας στους κρίσιμους τομείς της Γερμανίας. 

• Η παροχή προτάσεων για αντίμετρα. 

• Η δημιουργία σκαριφήματος για ένα σύστημα έγκαιρης προειδοποίησης (early-warning system). 

• Ο συντονισμός και η υλοποίηση κοινών έργων σχετικά με τη βελτίωση της προστασίας των 

υποδομών της Γερμανίας. 

Το Σχήμα 4 απεικονίζει συνοπτικά τις αρμοδιότητες του BMI. 

Federal Office for Information Security (BSI) 

Αποτελεί μια από τις Υπηρεσίες του BMI (Upper Federal Authority). Ιδρύθηκε το 1991 με έδρα τη 

Βόννη 16 . Αποτελεί τον κεντρικό πάροχο υπηρεσιών σχετικών με ασφάλεια ΙΤ για τη Γερμανική κυβέρνηση 

(Germany’s National Security Agency). Κύριες δραστηριότητές του είναι οι ακόλουθες: 

16 http://www.bsi.bund.de. 



40



Σχήμα 4: Αρμοδιότητες BMI [BSI-05b] 

• Internet security: analyses, concepts, advice (including the IT Baseline Protection Manual) 

• Management of the computer emergency response team (CERT) and virus center 

• Network security and cryptology, public key infrastructure (PKI), and biometrics 

• Critical infrastructure 

• e-Government 

• Development of the ACIS Methodology for analysing critical infrastructures 

To BSI είναι οργανωμένο σε τέσσερις Διευθύνσεις, μία γενική και τρεις εξειδικευμένες. Οι εξειδικευμενες 

υπηρεσίες σχετίζονται με τους ακόλουθους τομείς εξειδίκευσης: 

I.1. 

Security in Applications: Consulting, concepts, basic protection, high availability. 

I.2. Security in Critical Infrastructures, and Internet: Protection of Critical Infrastructures, CERT 

Association, penetration, viruses, support of criminal prosecution authorities. 

II.1. Security in networks: Safe network components, development, crypto-system evaluation. 

II.2 Cryptology, basic scientific elements: Key technologies, development, crypto-procedure evaluation, 

cryptography, cryptographic technology, and scientific foundations. 

III.1 Safety from interception: Counter-Eavesdropping, mobile radio και emission security, warding 

off wiretapping. 

III.2 Certification, Approval and Accreditation: Certification, accreditation, protection profiles, industrial 

cooperation. 

Federal Office for Civil Protection and Disaster Response (BBK) 

Ιδρύθηκε το Μάιο του 2004, μέσα στο BMI, ως αρμόδια υπηρεσία για την ανάπτυξη μέτρων για τη 

βελτίωση της φυσικής ασφάλειας. Μια από τις κύριες λειτουργίες του είναι η ανταλλαγή πληροφοριών 

και η κατανομή πόρων σε επείγουσες περιπτώσεις. Λειτουργεί δικτυακό τόπο για πληροφόρηση 

και ανάπτυξη δημοσίων σχέσεων με την ονομασία «German Emergency Preparedness Information 

System (deNIS)». Σχετικά με θέματα CICIP αναπτύσσει στενή συνεργασία με το BSI και την Regula- 



41



tory Agency for Telecommunications και Post (RegTP). Επιπρόσθετα, αξιολογεί ευπάθειες καθώς και 

την επάρκεια και τις αλληλεξαρτήσεις των υπηρεσιών ΤΠΕ, ενώ εκπονεί μελέτες περίπτωσης, πλάνα 

ανάκαμψης από καταστροφές και αναπτύσσει κατάλληλα αντίμετρα. 

Federal Criminal Police Agency (BKA) 

Αποτελεί Υπηρεσία που έχει την ευθύνη για τη δίωξη εγκλημάτων κατά της εσωτερικής και εξωτερικής 

ασφάλειας της χώρας. Ειδικότερα, ασχολείται με τη δίωξη εγκλημάτων που σχετίζονται με την 

πρόκληση ζημιάς ή την αποδόμηση κρίσιμων υποδομών που μπορούν να έχουν συνέπειες για τη ζωή, 

την υγεία και τη λειτουργία της κοινωνίας, γενικότερα. Τέλος, αποτελεί Κεντρική Υπηρεσία για τη 

διερεύνηση εγκλημάτων που σχετίζονται με τις ΤΠΕ. Το Σχήμα 5 απεικονίζει συνοπτικά τις υπευθυνότητες 

των βασικών Αρχών του BMI. 

Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b] 

Federal Ministry of Economics and Labour (BMWA) 

Περισσότερο από το ενενήντα 90% των κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτικός 

τομέας. Το συγκεκριμένο Υπουργείο διαδραματίζει σημαντικό ρόλο στη χάραξη της οικονομικής 

πολιτικής. Ειδικά για τον τομέα της ενέργειας, το BMWA είναι αρμόδιο για την ανάπτυξη πλαισίου 

για την ασφάλεια της παροχής ενέργειας. Σύμφωνα, επίσης, με το Άρθρο 87f του Γερμανικού Συντάγματος, 

είναι υπεύθυνο για τη διασφάλιση της διαθεσιμότητας και της επάρκειας των τηλεπικοινωναικών 

υποδομών και υπηρεσιών. 

Federal Network Agency 

Έτσι μετονομάστηκε η Regulatory Authority for Telecommunications and Posts (RegTP) τον Ιούλιο 

του 2005. Η κύρια αρμοδιότητά της είναι η περαιτέρω ανάπτυξη, μέσω της απελευθέρωσης, των αγορών 

παροχής ηλεκτρικής ενέργειας, αερίου τηλεπικοινωνιακών και ταχυδρομικών υπηρεσιών και επιπρόσθετα, 

από τον Ιανουάριο του 2006, της αγοράς των σιδηροδρομικών υποδομών. 

Federal Ministry of Justice (BMJ) 

Είναι υπεύθυνο για τη σχετική νομοθεσία και ειδικότερα για τη συμμόρφωση των εθνικών νόμων με 

τη συμφωνία για το κυβερνο-έγκλημα που υπογράφηκε στις 23 Νοεμβρίου 2001. 



42



Federal Ministry of Defense (BMVg) 

Είναι υπεύθυνο για την Εθνική Αμυνα. 

Federal Chancellery 

Έχει συντονιστικό ρόλο σε επίπεδο Υπουργείων. 

Federal Intelligence Service (BND) και Federal Office for the Protection of the Constitution (BfV) 

Παρέχουν σημαντική πληροφόρηση σχετικά με περιπτώσεις απειλών και τις πιθανές εγχώριες ομάδες-στόχους. 

Το Σχήμα 6 απεικονίζει σχηματικά τις Ομοσπονδιακές Αρχές της Γερμανίας που εμπλέκονται σε θέματα 

CICIP: 

Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b] 

Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα (PPP) 

Initiative D21 

Αποτελεί τη μεγαλύτερη σύμπραξη δημόσιου-ιδιωτικού τομέα στη Γερμανία. Είναι ένας μη κερδοσκοπικός 

συνεταιρισμός με πάνω από 400 εταιρείες από διάφορους τομείς. Ο κύριος στόχος της είναι 

«…Speed up Germany’s transition from an industrial society to an information society through co-operation 

with government and public administration…». 

Η συγκεκριμένη σύμπραξη οργανώνεται σε τέσσερις θεματικές περιοχές (steering groups): α) Education, 

Qualification and Equality of Opportunity, β) e-Government/Security and Trust in the Internet, 

γ) Information and Communications Technologies in Healthcare και δ) Growth and Competitiveness, 

with the focal issues being broadband technology and the mobile society. 

Working Group on Infrastructure Protection (AKSIS) 

Ιδρύθηκε το 1999, ως πρωτοβουλία του Center for Strategic Studies (ZES) που ανήκει στην εταιρεία 

IABG (Industrieanlagen-Betriebsgesellschaft). Κύριος σκοπός του είναι «…to provide a forum for 

information exchange to analyze and assess the dependability of CI/CII sectors…». 



43



Δεν έχει συγκεκριμένη επίσημη αποστολή που να του έχει ανατεθεί από την κυβέρνηση ή τη βιομηχανία, 

ενώ είναι ανεπίσημο και καθαρά εθελοντικό. Διοργανώνονται δύο συναντήσεις το χρόνο όπου 

συμμετέχουν αντιπρόσωποι από τον ιδιωτικό και δημόσιο τομέα (Υπουργεία, Αστυνομία, Ένοπλες 

Δυνάμεις, Τηλεπικοινωνίες, Ενέργεια, Μεταφορές, Τράπεζες, Ακαδημαϊκή Κοινότητα κλπ.). Γίνεται 

προσπάθεια για πιο στενή συνεργασία του AKSIS με τις κυβερνητικές πρωτοβουλίες για CII. 

Μηχανισμοί προειδοποίησης και προσέγγιση κοινού 

CERT-Bund 

Δημιουργήθηκε το Σεπτέμβριο του 2001 στο BSI και αποτελεί κεντρικό σημείο επαφής για όλες τις 

ομοσπονδιακές υπηρεσίες. Κύριο έργο του είναι η προστασία των δικτύων και των κέντρων επεξεργασίας 

δεδομένων της ομοσπονδιακής δημόσιας διοίκησης. Μερικές από τις υπηρεσίες του προσφέρονται 

και στον ιδιωτικό τομέα (όχι incident response). 

Κύριες δραστηριότητες του είναι η ενημέρωση και ανταλλαγή πληροφοριών, η συλλογή δεδομένων, 

η ανάλυση και επεξεργασία πληροφοριών, η τεκμηρίωση και διάχυση, και η συνεργασία με υπάρχουσες 

CERTs, ενώ προωθεί την ιδέα για τη δημιουργία νέων CERTs. Συμμετέχουν σε αυτό πέντε 

CERT μεγάλων εταιρειών με σκοπό την ανταλλαγή πληροφοριών σχετικά με αδυναμίες, ευπάθειες, 

απειλές και περιστατικά. 

CERT-Network (CERT-Verbund) 

Αποτελεί συμμαχία (Alliance) των Γερμανικών CERTs. Παρέχει μια κοινή βάση για τη συνεργασία 

μεταξύ των CERTs ενώ επιτρέπει την προστασία των εθνικών δικτύων ΙΤ και τη μετατόπιση των συντονισμένων 

αντιδράσεων, σε περίπτωση μεγαλύτερης κλίμακας περιστατικών ασφάλειας ΙΤ. 

Mcert 

Τον Ιανουάριο του 2002 παρουσιάστηκε η μελέτη «Security and Trust in the Internet» που υπογράμμισε 

την ανάγκη για τη δημιουργία μιας CERT για μικρομεσαίες επιχειρήσεις, επιπρόσθετα των 

υπαρχουσών CERT της Γερμανίας (dCERT, DFN-CERT, S-CERT, secu-CERT, Telekom-CERT, και 

CERT-Bund). Ιδρύθηκε με τη συνεργασία των BMWA, BMI και του μη-κερδοσκοπικού οργανισμού 

BITKOM, το 2003. 

IT Crisis Response Center 

Αποτελεί οργανισμό που λειτουργεί μέσα στο BSI, και προσοιμοιάζει με ένα κέντρο ελέγχου και ανάλυσης. 

Έχει σαν έργο του να παρέχει συνεχή πληροφόρηση και να εκτιμά με αξιόπιστο τρόπο την 

κατάσταση σχετικά με την ασφάλεια ΙΤ των ομοσπονδιακών υπουργείων ώστε να ανταποκρίνεται έ- 

γκαιρα σε έκτακτες καταστάσεις και να μπορεί να επανέρχεται έγκαιρα σε ασφαλή κατάσταση. Υποστηρίζει 

το Coordination Board fro IT Security of the Federal Ministries στην οργάνωση του έγκαιρου 

τρόπου απόκρισης και της επιστροφής των πληροφοριακών υποδομών, που έχουν επηρεαστεί, σε 

ασφαλή λειτουργία. 

Νομοθετικό και Κανονιστικό Πλαίσιο 

Οι κυριότεροι νόμοι που έχουν αναπτυχθεί στη Γερμανία σχετικά με θέματα CICIP συνοψίζονται 

στους ακόλουθους: 

• Νομικό πλαίσιο για τις Ηλεκτρονικές Υπογραφές (Law Governing Framework Conditions for E- 

lectronic Signatures). 

• Νομοθετική πράξη για τις Υπηρεσίες Πληροφοριών και Τηλεπικοινωνιών (Information and 

Telecommunications Services Act 1997). 

• Νομοθετική Πράξη για τις Ηλεκτρονικές Υπογραφές (Electronic Signature Act) 2001/2005. 

• Νομοθετική Πράξη για τη χρήση των Τηλευπηρεσιών (Act on the Utilization of Teleservices). 

• Νομοθετική Πράξη για την προστασία των προσωπικών δεδομένων στις τηλευπηρεσίες (Teleservices 

Data Protection Act). 



44



• Γερμανικός Ποινικός Κώδικας (German Penal Code). 

3.3.2.2 Ελβετία 


Σύμφωνα με τα [BSI-04a] και [Abe-06], από το τέλος του Ψυχρού Πολέμου, οι κίνδυνοι και οι ευπάθειες 

που σχετίζονται με τις ΤΠΕ αποτελούν μείζον θέμα στις δημόσιες συζητήσεις (debates) που 

λαμβάνουν χώρα στην Ελβετία, σχετικά με την ανάπτυξη πολιτικής ασφάλειας. 

Οι προσεγγίσεις CICIP αναπτύσσονται σε συνεργασία της επιχειρηματικής κοινότητας με τις δημόσιες 

υπηρεσίες, ενώ έχουν ήδη αναπτυχθεί ισχυροί δεσμοί μεταξύ διάφορων κυβερνητικών οργανισμών 

και επιχειρήσεων. Οι συνεργασίες ιδιωτικού-δημόσιου τομέα αποτελούν τους κεντρικούς πυλώνες 

της Ελβετικής πολιτικής για θέματα CICIP. 


H πρώτη πρωτοβουλία με την ονομασία «Strategic Leadership Exercise», έλαβε χώρα το 1999 και α- 

σχολήθηκε με την επανάσταση των ΤΠΕ και τις σχετικές προκλήσεις στη σύγχρονη κοινωνία, την 

πολιτική, την οικονομία, καθώς και άλλους κρίσιμους τομείς. Αποκάλυψε ότι οι CIs της Ελβετίας είναι 

αντιμέτωπες με νέους κινδύνους, και είχε ως αποτέλεσμα τη δημοσίευση πρόσκλησης για τη δημιουργία 

ενός ανεξάρτητου οργανισμού που θα ασχολείται με θέματα ασφάλειας πληροφοριών. 

Η δεύτερη πρωτοβουλία με την ονομασία «Strategy for the Information Society Switzerland» καθορίστηκε 

από το Ομοσπονδιακό Συμβούλιο (Federal Council) το 1998 και προσδιόρισε τις περιοχές ό- 

που απαιτούνται άμεσες ενέργειες. Καθόρισε τέσσερις κατευθυντήριες αρχές: α) Πρόσβαση στην πληροφορία 

από τον οποιονδήποτε, β) Παρακίνηση για χρήση των ΤΠΕ, γ) Ελευθερία ανάπτυξης για την 

Κοινωνία της Πληροφορίας και δ) Αποδοχή νέων τεχνολογιών. 

Συμφωνήθηκε ότι πρόοδοι που συντελούνται από τις ΤΠΕ είναι υψηλής προτεραιότητας. 

Το 2000 εκδόθηκε το «Security Policy Report 2000», όπου το Ομοσπονδιακό Συμβούλιο αναγνώρισε 

το CIP/CICIP ως σκοπό της πολιτικής του για την ασφάλεια. Την ίδια χρονιά εκδόθηκε το «Concept 

of Information Assurance», που πρότεινε την ίδρυση ενός συστήματος διαχείρισης κρίσεων (special 

task force on «Information Assurance»). Στα ίδια πρότυπα, το Information Society Coordination 

Group (ISCG) της Ελβετίας, όρισε την ασφάλεια και τη διαθεσιμότητα των πληροφοριακών υποδομών 

ως πρώτης προτεραιότητας θέμα. 

Το 2001 πραγματοποιήθηκε από το Strategic Leadership Training το «Exercise INFORMO 2001». 

Κύριος στόχος του ήταν Αναθεώρηση της διαδικασίας διασφάλισης των πληροφοριών που δημιουργήθηκε 

το 1997 καθώς και η εκπαίδευση του νεοιδρυθέντος Special Task Force on Information Assurance 

(SONIA) (περιγράφεται αναλυτικά παρακάτω). 

Μια άλλη πολιτική που αναπτύχθηκε είναι και η επονομαζόμενη «Information Assurance Policy», 

που βασίζεται σε τέσσερις πυλώνες: 

• Αποτροπή (Prevention). 

• Πρώιμη αναγνώριση (Early recognition), με κύριους εμπλεκόμενους το «Reporting and Analysis 

Center for Information Assurance (MELANI) (περιγράφεται αναλυτικά παρακάτω). 

• Διαχείριση κρίσεων (Crisis management), με κύριους εμπλεκόμενους τους: SONIA, MELANI, 

και Federal Office for National Economic Supply (NES), που συμπεριλαμβάνει τo ICT Infrastructure 

Unit. 

• Επίλυση τεχνικών προβλημάτων (Technical problem solution), με κύριους εμπλεκόμενους τους 

MELANI και Risk Analysis InfoSurance Foundation and Federal Office for National Economic 

Supply (NES). 



45



Οργανωτικές δομές 

Οι κυριότερες οργανωτικές δομές της Ελβετίας, συνοψίζονται στα ακόλουθα: 

Federal Strategy Unit for Information Technology (ISB) 

Αποτελεί υφιστάμενη Υπηρεσία του Swiss Federal Department of Finance (EFD), η οποία: 

• Παράγει οδηγίες, μεθόδους και διαδικασίες για την ασφάλεια πληροφοριών της ομοσπονδιακής 

διοίκησης. 

• Συλλέγει δεδομένα περιστατικών ασφάλειας. 

• Είναι υπεύθυνη για τη λειτουργία του Special Task Force on Information Assurance (SONIA) και 

του Reporting and Analysis Center (MELANI), καθώς και για την υλοποίηση της πολιτικής διασφάλισης 

των πληροφοριών. 

Federal Office for Communication (OFCOM) 

Αποτελεί το κύριο κανονιστικό όργανο, στον τομέα των τηλεπικοινωνιών και των ΤΠΕ. Ασχολείται 

με κινδύνους που επερεάζουν την Κοινωνία της Πληροφορίας. 

Federal Office for National Economic Supply (NES) 

Περιλαμβάνει το ICT Infrastructure Unit και αναφέρει στο Swiss Federal Department of Economic 

Affairs. Διαδραματίζει σημαντικό ρόλο στο πεδίο της ελαχιστοποίησης ζημίας. 

Federal Office of IT, Systems and Telecommunication (FOITT) 

Αναφέρει στο Swiss Federal Department of Finance. Οι αρμοδιότητές του συμεριλαμβάνουν την 

ασφάλεια και την ετοιμότητα σε περιπτώσεις επειγόντων περιστατικών που επηρεάζουν τα ομοσπονδιακά 

πληροφοριακά συστήματα διοίκησης, σε επιχειρησιακό επίπεδο. 

Coordination Unit for Cybercrime Control (CYCO) 

Αποτελεί μέρος του Federal Office of Police (FedPol). Επιβλέπει το Διαδίκτυο για την εύρεση εγκληματικού 

περιεχομένου. Είναι υπεύθυνο για τη σε βάθος-ανάλυση του κυβερνοεγκλήματος, ενώ 

συνεργάζεται άμεσα με το MELANI. 

Federal Department of Defense, Civil Protection, and Sports (DDPS) 

Πραγματοποιεί επιχειρήσεις που σχετίζονται με πληροφοριακές υποδομές και προετοιμάζεται κατάλληλα 

για να αντιμετωπίσει τις προκλήσεις της επανάστασης της πληροφορίας. 

Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα 

InfoSurance Association 17 

Ιδρύθηκε το 1999 από έναν αριθμό από εταιρείες, με την υποστήριξη της κυβέρνησης. Ο σκοπός του 

είναι η βελτίωση της επαγρύπνησης που σχετίζεται με θέματα διασφάλισης πληροφοριών. Η ομάδαστόχος 

του είναι οι μικρομεσαίες επιχειρήσεις, με εστίαση στην αποτροπή. 

Federal Office for National Economic Supply (NES): ICT Infrastructure Unit (ICT-I) 

Εργάζεται σε στενή συνεργασία με τον ιδιωτικό τομέα και διενεργεί αναλύσεις κινδύνων σε συγκεκριμένους 

τομείς. 

17 http://www.infosurance.ch. 



46



CLUSIS 

Αποτελεί μη-κερδοσκοπικό οργανισμό, που ιδρύθηκε το 1989 και αριθμεί 230 μέλη, μεταξύ των ο- 

ποίων δημόσιες υπηρεσίες της Ελβετίας, προμηθευτές ΙΤ, παρόχους, τράπεζες, βιομηχανίες, συμβούλους 

κλπ. Καλύπτει, κυρίως, το γαλλικό και το ιταλικό μέρος της Ελβετίας. 


Reporting and Analysis Center for Information Assurance (MELANI) 

Λειτουργεί από τον Οκτώβριο του 2004 και αποτελεί τον πυρήνα των Ελβετικών μηχανισμών προειδοποίησης 

και προσέγγισης κοινού σχετικά με CICIP. Διοικείται από το Federal Strategy Unit for 

Information Technology (ISB) και είναι δομημένο ως μόνιμο όργανο. Οι κύριες εργασίες του αφορούν 

τρεις βασικούς εταίρους: 

• ISB: Είναι υπεύθυνο για στρατηγικά θέματα και για τη διαχείριση του MELANI. 

• FedPol: Λειτουργεί το κέντρο ανάλυσης MELANI και είναι υπεύθυνο για τη συλλογή, συμπύκνωση, 

και παρουσίαση επιχειρησιακής πληροφόρησης, από διαφορετικές πηγές, τόσο στο δημόσιο 

όσο και στον ιδιωτικό τομέα. 

• Swiss Education and Research Network (SWITCH): Λειτουργεί το Computer Emergency Response 

Team (SWITCH-CERT) και είναι υπεύθυνο για τη διαχείρης τεχνικών περιστατικών. 

Δικτυακός τόπος MELANI 

Έχει δύο κύρια πεδία (domains): 

• MELANI-Net: Για επιλεγμένους διαχειριστές (operators) CIs 

• MELANI: Ανοικτό και διαθέσιμο σε ιδιωτικούς χρήστες και μικρομεσαίες επιχειρήσεις. 

Special Task Force on Information Assurance (SONIA) 

Διοικείται από το ISB και αποτελεί τον κύριο Οργανισμό Διαχείρισης Κρίσεων (Crisis Management 

Organisation). Αποτελεί στοιχείο-πυρήνα του 3 ου πυλώνα της Ελβετικής πολιτικής για τη διασφάλιση 

πληροφοριών που είναι η ελαχιστοποίηση και ο περιορισμός της ζημίας (damage limitation). 

Αποτελεί συμβουλευτικό όργανο για το Federal Council και για ανώτατα στελέχη διοίκησης, που 

αποτελούν εκπροσώπους του ιδιωτικού τομέα, σε περιπτώσεις κρίσεων. Λειτουργεί ως σύνδεσμος 

μεταξύ ιδιωτικού και δημόσιου τομέα. Δεν είναι μόνιμο όργανο και υποστηρίζεται από το ICT Infrastructure 

Unit του NES, για θέματα βελτίωσης της ενημέρωσης (raise awareness), και από το ΜELA- 

NI, που αποτελεί τον πάροχο αξιόπιστης πληροφορίας. 

SWITCH-CERT 

Βοηθά τους πελάτες του (διαχειριστές CI διαμέσου του MELANI, πανεπιστήμια και άλλα ινστιτούτα) 

στη διαχείριση της προβλημάτων που σχετίζονται με την ασφάλεια πληροφοριών. Αντιπροσωπεύει 

τα συμφέροντα της Ελβετίας, ως ερευνητικό κέντρο, σε διάφορα όργανα, και συνεργάζεται στενά με 

το MELANI. 


Οι κυριότεροι νόμοι της Ελβετίας, που σχετίζονται με θέματα ασφάλειας, είναι οι ακόλουθοι: 

• Ελβετικός Ποινικός Κώδικας (Swiss Penal Code), όπου υπάρχει ένας αριθμός από άρθρα, στο 

πλαίσιο CICIP, όπως τα 143 (unauthorised procurement of data), 144 (damage to property), 144 

bis (damage to data), 147 (fraudulent use of a computer). 

• «Convention on Cybercrime of the Council of Europe», που έγινε αποδεκτή από το Federal 

Council of Switzerland το 2001. 



47



3.3.2.3 Ηνωμένο Βασίλειο 


Σύμφωνα με τα [Abe-06, BSI-04a], στο Ηνωμένο Βασίλειο υπάρχουν ξεκάθαροι ορισμοί των κρίσιμων 

τομέων καθώς και ξεκάθαροι ορισμοί για το τί σημαίνει CIP. Οι προσεγγίσεις που ακολουθούνται 

σε θέματα CICIP γίνονται από κοινού με συνεργασία της επιχειρηματικής κοινότητας και των 

κυβερνητικών υπηρεσιών. Το CICIP ενσωματώνεται στις καθολικές προσπάθειες για πάταξη της 

τρομοκρατίας, όπου οι Υπηρεσίες πληροφοριών (Intelligence Community) διαδραματίζουν ιδιαίτερο 

ρόλο. Ισχυροί δεσμοί έχουν ήδη αναπτυχθεί μεταξύ του ιδιωτικού και του δημόσιου τομέα. Το σύστημα 

πρόσβασης σε πληροφορίες μπορεί να χαρακτηριστεί «διαφανές», ενώ υπάρχουν παραλληλισμοί 

με μοντέλα των ΗΠΑ. 


Το 1998 αναπτύχθηκε η «Approach to Information Society», με το όνομα «E-commerce@its.bet.uk» 

από το Performance and Innovation Unit. Λίγο αργότερα, παρουσιάστηκε η «UK Online Strategy» 

που περιελάμβανε το «UK Online Action Plan», με 113 συστάσεις (recommendations) και 26 υποχρεώσεις 

(commitments). Στις 3 Μαρτίου του 2003 παρουσιάστηκε το «Progress Report on Electronic 

Security». 

Κατευθυντήριες γραμμές σχετικά τη χάραξη πολιτικής για CICIP παρουσιάστηκαν στις 22 Νοεμβρίου 

2005, με την αναφορά με τίτλο «Information Assurance Governance Framework – Working in 

partnership for a secure and resilient UK information infrastructure». Η αναφορά αυτή συμπλήρωσε 

τις στρατηγικές σχετικά με την αντιτρομοκρατία, τις θεωρήσεις για την εθνική ασφάλεια, καθώς και 

τα μέτρα κατά των εγκλημάτων που κάνουν χρήση υψηλής τεχνολογίας (high-tech crime). Ως συντονιστικό 

όργανο για τη στρατηγική αυτή ορίστηκε το Central Sponsor for Information Assurance 

(CSIA) (περιγράφεται αναλυτικά παρακάτω). 


H κύρια αρμοδιότητα σχετικά με CICIP ανήκει στο Ηome Secretary 18 , ενώ και άλλα τμήματα 

παίζουν ρόλο στην προστασία των κρίσιμων εθνικών υποδομών (Critical National Infrastructures – 

CNIs). Ο κύριος διατμηματικός οργανισμός που σχετίζεται με θέματα CIP/CICIP issues, από την 

πλευρά του κράτους, είναι το National Infrastructure Security Coordination Centre (NISCC). 

Οι πολιτικές διατυπώνονται και αναπτύσσονται μέσα από διάλογο ανάμεσα σε διάφορες υπηρεσίες, 

όπως NISCC, CSIA, Civil Contigencies Secretariat (CCS) (που συντονίζει την ανταπόκριση της κυβέρνησης 

σε θέματα αντιμετώπισης και ανάκαμψης από επείγοντα περιστατικά), καθώς και του Cabinet 

Office Security Policy Division. 

Ακολουθεί μια σύντομη περιγραφή των κυριότερων οργανωτικών δομών του Ηνωμένου Βασιλείου: 

National Infrastructure Security Coordination Centre (NISCC) 

Ιδρύθηκε το Δεκέμβριο του 1999 και είναι υπέυθυνο για την προστασία των CNIs από ηλεκτρονικές 

επιθέσεις. Η οργανωτική του δομή περιλαμβάνει: 

• Διευθυντή (Director): Αναφέρει στο Εκτελεστικό Συμβούλιο (Executive Board). 

• Εκτελεστικό Συμβούλιο (Εxecutive Board): Σε αυτό συνεισφέρουν το Cabinet Office, το Communications 

Electronics Security Group (αποτελεί την κυβερνητική αρχή για τεχνικά θέματα α- 

σφάλειας πληροφοριών), το Home Office και το Security Service. 

• Δύο ομάδες ενδιαφερομένων (two stakeholder groups): Αντιπροσωπεύουν τον ιδιωτικό και το 

δημόσιο τομέα. 

Το συγκεκριμένο Κέντρο διαχέει πληροφόρηση σχετικά με απειλές και ευπάθειες σε CNI partners, 

διαμέσου του UNIRAS που αποτελεί το CERT της κυβέρνησης του Ηνωμένου Βασιλείου. 

18 http://www.homeoffice.gov.uk. 



48



Cabinet Office 

Συνεισφέρει σε θέματα πολιτικών και συντονισμού, ενώ συνεργάζεται στενά με το NISCC, διαμέσου 

των CCS και CSIA μονάδων. 

Communications Electronic Security Group (CESG) 

Αποτελεί το βραχίονα του Government Communications Headquarters (GCHQ), σε θέματα διασφάλισης 

πληροφοριών. Αποτελεί την εθνική τεχνική αρχή για θέματα ασφάλειας πληροφοριών ενώ εκπονεί 

την πολιτική σχετικά με τη διασφάλιση πληροφοριών. 

Department of Trade and Industry (DTI) 

Βοηθά το NISCC, διαμέσου της προώθησης του προτύπου ISO-17799. 

Home Office 

Αποτελεί τη γραμμή αναφοράς του NISCC και προεδρεύσει στο NISCC Management Board. 

Ministry of Defense (MoD) 

Το Defense Research Centre (DSTL) του MoD διεξάγει έρευνα τόσο για το NISCC όσο και για το 

MoD. Περιλαμβάνει μια ιεραρχία από CERTs, που συνεργάζονται στενά με το UNIRAS. 

Police 

Το National High Tech Crime Unit (NHTCU) της Αστυνομίας αποτελεί στενό συνεργάτη του NISCC. 

Security Service 

Συνεισφέρει με εμπειρία και τεχνογνωσία σε θέματα έρευνας για απειλές, ανάλυσης πληροφοριών 

και προληπτικής ασφάλειας στο NISCC. Η μονάδα του που ονομάζεται National Security Advice 

Centre (NSAC) συνεισφέρει σε θέματα προστασίας σημαντικών κυβερνητικών αγαθών. 

Central Sponsor for Information Assurance (CSIA) 

Δημιουργήθηκε επίσημα την 1 η Απριλίου 2003 μέσα στο Cabinet Office. Προωθεί τη διασφάλιση 

πληροφοριών και την ανάλυση κινδύνων στην κυβέρνηση. 

Civil Contigencies Secretariat (CCS) 

Αποτελεί, επίσης, κομμάτι του Cabinet Office. Ιδρύθηκε τον Ιούλιο του 2001 και αναφέρει στον 

Πρωθυπουργό της χώρας διαμέσου του συντονιστή ασφάλειας και ανάλυσης πληροφοριών (security 

and intelligence coordinator) και της μόνιμης γραμματείας (permanent secretary) του Cabinet Office. 

Έχει τρεις διευθύνσεις: α) Διεύθυνση Εκτιμήσεων (Assessments division), που αξιολογεί πιθανούς 

και αναδυόμενους κινδύνους, β) Διεύθυνση Λειτουργιών (Operations division), που αναπτύσσει και 

επιθεωρεί πλάνα επιχειρησιακής συνέχειας που αναπτύσσονται για τμήματα και γ) Διεύθυνση Πολιτικής 

(Policy division), που παρέχει υποστήριξη στην Cabinet Secretariat σε θέματα διαχείρισης συνεπειών 

(consequence management). 

Τέλος, αναπόσπαστο κομμάτι του CCS αποτελεί το Emergency Planning College που διαδραματίζει 

κύριο ρόλο στη διάδοση του δόγματος του Ηνωμένου Βασιλείου σχετικά με την ανθεκτικότητα (resilience) 

των συστημάτων. 

Συμπράξεις Δημόσιου-Ιδιωτικού Τομέα (PPP) 

Οι κυριότερες συμπράξεις δημόσιου-ιδιωτικού τομέα στο Ηνωμένο Βασίλειο είναι οι ακόλουθες: 



49



NISCC’s PPP 

Υπάρχουν δύο τύποι πρωτοβουλιών για την ανταλλαγή πληροφορίας: α) Ανταλλαγή πληροφοριών 

σχετικά με θέματα αεροπλοίας, κυβέρνησης, παρόχους διαχειριζόμενων υπηρεσιών (Managed-service 

providers), βιομηχανία τηλεπικοινωνιών, οικονομία, τεχνολογίες Supervisory Control and Data 

Acquisition (SCADA), πωλητές, κ.λπ. και β) Warning, Advice and Reporting Points (EARPs) που παρέχουν 

μια οικονομικά αποδοτική εναλλακτική λύση των CERTs και ISACs. Αυτή τη στιγμή λειτουργούν 

οκτώ. 

Information Assurance Advisory Council (IAAC) 19 

Ιδρύθηκε το 2000. Δεν αποτελεί μέρος της κυβέρνησης του Ηνωμένου Βασιλείου, αλλά έχει κυβερνητική 

εκπροσώπηση. Πραγματοποιεί συστάσεις σχετικά με πολιτικές, ενώ υποβοηθά το διάλογο σε 

διατομεακό επίπεδο. Έχει ενεργούς συνδέσμους με το NISCC, το DTI, το Office for Science and 

Technology (OST), τον ιδιωτικό τομέα και το στρατό. Αυτή τη στιγμή είναι σε λειτουργία 5 ομάδες 

εργασίας: α) Εκτίμηση Απειλών, β) Εκτίμηση Κινδύνων, γ) Πρότυπα, δ) Έρευνα και Τεχνολογική Α- 

νάπτυξη, και ε) Εκπαίδευση και προσέγγιση κοινού. 

Τέλος, συνεργασίες που αναφέρονται επιγραμματικά είναι οι British Computer Society (BCS), Internet 

Security Forum, National Computing Centre, Internet Watch Foundation, και Confederation of 

British Industry. 


Οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγισης κοινού που έχουν αναπτυχθεί στο Ηνωμενο 

Βασίλειο είναι οι ακόλουθοι: 

Unified Incident Reporting and Alert Scheme (UNIRAS) 

Αποτελεί το CERT της βρετανικής κυβέρνησης και λειτουργεί από το NISCC. Αντλεί τεχνική υποστηριξη 

από το CESG ενώ εκδίδει «Alerts» και «Briefings» σχετικά με ευπάθειες στην ασφάλεια ΙΤ. 

Ministry of Defence Computer Emergency Response Team (MOD-CERT) 

Το ΜOD αποτελεί οργανισμό-μέλος του Federation of Incident Response Security Teams (FIRST) 

και του Trusted Introducer (TI). Το MODCERT αποτελείται από: α) Ένα κεντρικό σημείο συντονισμού 

(Central coordination center), β) Κέντρα παρακολούθησης και αναφοράς (Monitoring and reporting 

centers), γ) Σημεία Προειδοποίησης, συμβουλών και αναφορών (Warning, Advice and Reporting 

Points - WARPs) και δ) Ομάδες αντιμετώπισης περιστατικών (Incident response teams). 

Το MOD-CERT συνεργάζεται στενά με το UNIRAS. 

ITsafe: IT Security Awareness for Everyone 

Δημιουργήθηκε το Φεβρουάριο του 2005. Χρηματοδοτείται από το Home Office, το συντονισμό του 

έχει η CSIA και αντλεί πληροφόρηση από το NISCC. 

GetSafeOnline 

Λειτουργεί από τον Οκτώβριο του 2005. Αποτελεί συνεργασία μεταξύ ιδιωτικού τομέα και κυβέρνησης. 

Χορηγοί του είναι το CSIA, το DTI, το Home Office και το NISCC. 


Κύριοι νόμοι που σχετίζονται με θέματα CICIP είναι οι: α) Computer Misuse Act του 1990 και β) Police 

and Justice Bill του 2006. 

19 http://www.iaac.gov.uk. 



50



3.3.2.4 Ολλανδία 


Σύμφωνα με τα [Abe-06, BSI-04a], στην Ολλανδία οι ορισμοί σχετικά με τους κρίσιμους τομείς είναι 

σαφείς, όπως και η ερμηνεία σχετικά με CIP. Όλες οι λειτουργίες σε επίπεδο τακτικής και διαχείρισης 

θεωρείται ότι αφορούν και τον ιδιωτικό και το δημόσιο τομέα, ή εκχωρούνται, αποκλειστικά, 

στον ιδιωτικό τομέα. 

Βάσει του Ολλανδικού μοντέλου, κάθε κρίσιμος τομέας/κάθε χρήστης ΤΠΕ είναι υπεύθυνος για τις 

δικές του υποδομές, ενώ ο ιδιωτικός τομέας διαδραματίζει πολύ σημαντικό ρόλο. Σημειώνεται ότι, 

δεν υπάρχει κεντρικός κρατικός οργανισμός που συντονίζει τα εθνικά μέτρα για CIP, αλλά η λειτουργία 

αυτή γίνεται από τον ιδιωτικό τομέα, ειδικότερα από το Electronic, Commerce, Platform NetherLands 

(ECP.NL), που αναλύεται σε επόμενη ενότητα. 


Το 1999 παρουσιάστηκε το πλαίσιο για τις ΤΠΕ στα επόμενα 3-5 χρόνια, με την ονομασία «Digital 

Delta». Το 2000 ακολούθησε το «Defense Whitepaper 2000», ενώ το Μάρτιο του 2000 η «Infodrome 

Initiative and BITBREUK (In Bits and Pieces)» ενεργοποίησε τη συζήτηση σχετικά με την ανάγκη 

προστασίας των CII. 

Το 2001 εκδόθηκε το «KWINT Report and Memorandum» για τα Υπουργεία Μεταφορών, Δημοσίων 

Έργων και Διαχείρισης Υδάτων της Ολλανδίας. Βάσει αυτού προτάθηκε η δημιουργία ενός μιας διατμηματικής 

ομάδας εργασίας από τα Υπουργεία Οικονομικών Σχέσεων, Άμυνας, Οικονομίας, Εσωτερικών, 

Δικαιοσύνης και Μεταφορών (Γενική Διεύθυνση Ταχυδρομείων και Τηλεπικοινωνιών). 

Το αποτέλεσμα ήταν το «KWINT government memorandum», βάσει του οποίου υλοποιήθηκαν τα παρακάτω: 

• Μια αναφορά σχετικά με τις «Ευπάθειες στο Διαδίκτυο» («Vulnerability of the Internet»), που δημοσιεύτηκε 

στις 06.07.2001. 

• Η δημιουργία του CERT GOVCERT.NL. 

• H δημιουργία του εθνικού CERT. 

• H δημιουργία ενός συστήματος επαγρύπνησης σχετικά με κακόβουλο λογισμικό (malware alerting 

service) για μικρομεσαίες επιχειρήσεις (SME). 

• Η εκχώρηση συγκεκριμένων εργασιών στο ECP.NL (πλατφόρμα ιδιωτικού-δημόσιου τομέα σχετικά 

με το ηλεκτρονικό εμπόριο που αναλύεται παρακάτω). 

Το πρόγραμμα KWINT για τα έτη 2002-2005 προέβλεπε ενέργειες σχετικά με την προστασία και την 

ασφαλή χρήση του Διαδικτύου. Ο διάδοχός του KWINT ονομάστηκε «Veilige Elektronische Communicatie 

– VEC», για τα έτη 2006-2008. 

Το 2002 δρομολογήθηκε η πρωτοβουλία με την ονομασία «Quick Scan on Critical Products and 

Services». Σύμφωνα με αυτήν, άρχισε η υλοποίηση του CIP έργου με τίτλο «Προστασία της Κρίσιμης 

Υποδομής της Ολλανδίας» («Protection of the Dutch Critical Infrastructure»). Στο πλαίσιο του έργου 

αυτού δημιουργήθηκε ειδικό ερωτηματολόγιο (Quick Scan Questionnaire), με σκοπό την αναγνώριση 

των τομέων, των προϊόντων και των υπηρεσιών που αποτελούν την κρίσιμη εθνική υποδομή. Τα 

αποτελέσματα των συλλεχθέντων στοιχείων αναλύθηκαν τον Ιούνιο του 2002. 

Τον Απρίλιο του 2003 δημοσιεύτηκαν τα αποτελέσματα της σχετικής έρευνας από το Υπουργείο Ε- 

σωτερικών και Βασιλικών Σχέσεων (Ministry of Interior και Kingdom Relations). Σημειώνεται ότι η 

έρευνα πραγματοποιήθηκε σε στενή συνεργασία με τον Ολλανδικό Οργανισμό Εφαρμοσμένης Επιστημονικής 

Έρευνας (Netherlands Organization for Applied Scientific Research - TNO). 

Το Σεπτέμβριο του 2005 ανακοινώθηκαν οι σχετικές ενέργειες που θα έπρεπε να λάβουν χώρα, μεταξύ 

των οποίων ήταν η δημιουργία του «Critical Infrastructure Strategic Consultation Group (SOVI)». 



51



Με πρωτοβουλία του Υπουργείου Εσωτερικών και Βασιλικών Σχέσεων, εκπονήθηκε ένα περιεκτικό 

πακέτο από μέτρα για την προστασία των κρίσιμων υποδομών, τόσο του ιδιωτικού όσο και του δημόσιου 

τομέα. Το χρονικό διάστημα 2002-2004 ο συντονισμός του ανατέθηκε στο National Coordination 

Center (NCC) του Υπουργείου, ενώ μετά το Σεπτέμβριο του 2004 ο συντονισμός γίνεται από το 

Directorate of Crisis Management του ίδιου Υπουργείου. 

Σύμφωνα με το πακέτο, τα βήματα ενός έργου CIP περιλαμβάνουν τα ακόλουθα: α) Ανάλυση των 

κρίσιμων υποδομών της Ολλανδίας, β) Προσομοίωση συνεργασίας ιδιωτικού-δημόσιου τομέα (PPP), 

γ) Ανάλυση κινδύνων και ευπαθειών, δ) Ανάλυση χάσματος και μέτρα προστασίας και ε) Οργανωτικές 

δομές. 

Οι κυριότερες οργανωτικές δομές της Ολλανδίας είναι οι ακόλουθες: 

Ministry of Economic Affairs/Directorate General Telecom and Post 

Είναι υπεύθυνο για την πολιτική προστασίας στις τηλεπικοινωνίες και το Διαδίκτυο. Άλλες Υπηρεσίες 

του είναι υπεύθυνες για πολιτικές CIP/CICIP σχετικά με τον ιδιωτικό τομέα, συμπεριλαμβανομενων 

των μικρομεσαίων επιχειρήσεων. 

Ministry of Interior and Kingdom Relations (BZK) 

Είναι υπεύθυνο (σε όρους πολιτικής) για την προστασία των κυβερνητικών πληροφοριακών υποδομών 

(government information infrastructures (government CICIP). Περιλαμβάνει το Directorate of 

Crisis Management και το National Coordination Center (ΝCC). Το NCC έχει την ευθύνη για συντονιστικές 

ενέργειες, σε επίπεδο πολιτικής, σε περιπτώσεις εκτάκτων αναγκών και καταστροφών με 

επιπτώσεις σε εθνικό επίπεδο. Το BZK είναι υπεύθυνο για το κυβερνητικό CERT GOVCERT.NL. 

General Intelligence and Security Service (AIVD) 

Αποτελεί Διεύθυνση του ΒΖΚ. Έχει ως κύριες αρμοδιότητες την προστασία της πληροφορίας και των 

ζωτικών τομέων της Ολλανδικής κοινωνίας καθώς και την αποκάλυψη περιπτώσεων αθέμιτου ανταγωνισμού, 

όπως οικονομικής κατασκοπίας, που θα μπορούσε να βλάψει τα Ολλανδικά συμφέροντα. 

Επίσης χειρίζεται θέματα πληροφοριών του εξωτερικού (foreign intelligence) ενώ είναι υπεύθυνη για 

την ανάλυση πιθανών απειλών των Ολλανδικών τομέων CI. 

Ministry of Economic Affairs (EZ) 

Η κύρια Διεύθυνσή του, που ασχολείται με θέματα υποδομών είναι η Directorate for Energy and Telecommunications. 

Κύριοι στόχοι της είναι η ενδυνάμωση της ανταγωνιστικής θέσης της Ολλανδίας, 

στο πεδίο των τηλεπικοινωνιών, της τηλεματικής και των ταχυδρομικών υπηρεσιών. Διασφαλίζει την 

αδιάλειπτη λειτουργία και την παροχή των κρίσιμων ενεργειακών και τηλεπικοινωνιακών υπηρεσιών, 

σε πολίτες και εταιρείες. Τέλος, είναι υπέθυνη για την πολιτική CIP/CICIP για τους ιδιωτικούς τομείς 

της ενέργειας και των τηλεπικοινωνιών, καθώς και για την ιδιωτική βιομηχανία, περιλαμβανομένων 

των μικρομεσαίων επιχειρήσεων. 

Ministry of Transport, Public Works, and Water Management (VκαιW) 

Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη διαχείριση 

υδάτων και μεταφορών. 

Ministry of Housing, Spatial Planning, and the Environment (VROM) 

Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη χημική 

και πυρηνική βιομηχανία, καθώς και τις υποδομές πόσιμου νερού. 

Ministry of Health, Welfare and Sports (VWS) 

Είναι υπεύθυνο για το συντονισμό και την προστασία των κρίσιμων υπηρεσιών του τομέα υγείας 

(περιλαμβανομένης της βιοχημικής ποιότητας του υδροφόρου ορίζοντα). 



52



National High-Tech Crime Center (NHTCC) 

Αποτελεί κοινή πρωτοβουλία των Netherlands Police Agency KLPD, Ministry of the Interior and 

Kingdom Relations, Ministry of Economic Affairs, και Ministry of Justice. Ασχολείται με εγκλήματα 

κατά των ΤΠΕ που έλαβαν χώρα από το 2004 και έπειτα. Υποστηρίζει τόσο τη συνεργασία μεταξύ υ- 

πηρεσιών όσο και τη συνεργασία ιδιωτικού-δημόσιου τομέα, καθώς και την ανταλλαγή πληροφοριών 

τόσο σε εθνικό όσο και σε διεθνές επίπεδο. 

Συνεργασίες Δημόσιου και Ιδιωτικού Τομέα (PPP) 

Οι κυριότερες συνεργασίες/συμπράξεις ιδιωτικού - δημόσιου τομέα που έχουν αναπτυχθεί στην Ολλανδία 

είναι οι ακόλουθες: 

Platform Electronic Commerce in the Netherlands (ECP.NL) 

Ανήκει στο Υπουργείο Οικονομικών Υποθέσεων και είναι επιφορτισμένο με την υλοποίηση των κατευθυντήριων 

γραμμών δράσης του KWINT Memorandum. 

National Continuity Plan for Telecommunications (NACOTEL) 

Πρόκειται για τη σύμπραξη που ορίζει την πολιτική εκτάκτου ανάγκης και διαχείρισης κρίσεων στον 

τηλεπικοινωνιακό τομέα. Ενδεικτικά, μέλη του αποτελούν οι: BT, Enertel, KPN Telecom, Telfort, O- 

range, T-Mobile, Ministry of Economic Affairs. 

National Continuity Consultation Platform Telecommunications (NCO-T) 

Η συγκεκριμένη σύμπραξη υπερκαλύπτει το NACOTEL, με κύριες εργασίες: α) Τον ορισμό προληπτικών 

μέτρων για την αποτροπή δυσλειτουργιών και κρίσεων που μπορεί να επηρεάσουν ζωτικά 

συμφέροντα και β) τη λήψη προπαρασκευαστικών μέτρων για την επίλυση δυσλειτουργιών και κρίσεων, 

όσο το δυνατόν πιο γρήγορα, με τη μικρότερη δυνατή πρόκληση ζημίας σε ζωτικά συμφέροντα. 

Της σύμπραξης προεδρεύει ένας από τους Διευθυντές του Ολλανδικού Υπουργείου Οικονομικών Υποθέσεων 

(Γενική Διεύθυνση Ενέργειας και Τηλεπικοινωνιών). 


Οι κυριότεροι μηχανισμοί προειδοποίησης και ενημέρωσης κοινού είναι οι παρακάτω: 

CERT-NL (part of SURFnet) 

Αποτελεί το CERT του SURFnet, που είναι ο πάροχος υπηρεσιών Διαδικτύου για ινστιτούτα ανώτερης 

εκπαίδευσης και για πολλούς ερευνητικούς οργανισμούς στην Ολλανδία. Χειρίζεται όλα τα περιστατικά 

ασφάλειας που αφορούν τους πελάτες του SURFnet, είτε αποτελούν θύματα είτε υπόπτους. 

Διαχέει πληροφορία σχετική με ασφάλεια στους πελάτες του SURFnet, με μια δομημένη μορφή (π.χ. 

με τη διανομή security advisories), καθώς και σε περιπτώσεις που έχουν συμβεί περιστατικά (π.χ. με 

τη διανομή πληροφορίας σε περιπτώσεις καταστροφών). Το CERT-NL διαχέει πληροφορία που προέρχεται 

από το CERT-CC και το FIRST. 

GOVCERT.NL 

Αποτελεί το CERT για κυβερνητικά τμήματα (CERT-RO) και ιδρύθηκε τον Ιούνιο του 2002. Το 

Φεβρουάριο του 2003 μετονομάστηκε από CERT-RO σε GOVCERT.NL. Αποτελεί πεδίο ευθύνης της 

ICT agency (ICTU) του Ministry of the Interior and Kingdom Relations. Η ομάδα του συστεγάζεται 

και συνεργάζεται με το «Waarschuwingsdienst.nl». Αυτό αποτελεί έναν ιστότοπο και μιας πρωτοβουλία 

του Ministry of Economic Affairs/ Directorate-General for Energy and Telecom, και είναι υπεύθυνο 

για την έκδοση alerts και συμβουλών (alerts and advice memoranda) στο κοινό και τις ΜΜΕς, 

σχετικά με ιούς, Δούρειους Ίππους, και άλλο κακόβουλο λογισμικό (malware). 



53



Hacking Emergency Response Team (HERT) και the National HighTech Crime Center (NHTCC) 

Ιδρύθηκε τον Ιούνιο του 2002 από την ομάδα ηλεκτρονικού εγκλήματος της Ολλανδικής Αστυνομίας 

(KLPD). Οι κύριες δραστηριότητές του είναι η αποκατάσταση των υπηρεσιών CI και η παροχή βοήθειας 

για ανάκαμψη και διαχείριση (recovery and logistics) ενώ παράλληλα συλλέγονται τα τεκμηρια. 

Αργότερα, έγινε μέρος του νομικού και επιχειρησιακού πλαισίου του Dutch National High Tech 

Crime Center. 

Trans-European Research and Education Networking Association (ΤΕRΕΝΑ) 

Ο συγκεκριμένος Οργανισμός 20 αποτελεί μια σύμπραξη από μηχανικούς δικτύων και διευθυντικά 

στελέχη και προσφέρει ένα τόπο δημόσιας συζήτησης (forum) που προάγει τη συνεργασία και τη διάχυση 

της γνώσης με σκοπό την ενίσχυση της ανάπτυξης της τεχνολογίας Διαδικτύου, καθώς και των 

υποδομών και των υπηρεσιών που χρησιμοποιούνται από την ερευνητική και ακαδημαϊκή/εκπαιδευτική 

κοινότητα. 

Κύρια δραστηριότητα του Οργανισμού είναι να φέρει σε επαφή διευθυντικά στελέχη, ειδικούς σε θέματα 

τεχνολογίας και άλλους ανθρώπους από την ερευνητική κοινότητα με συναδέλφους τους από 

άλλες χώρες της Ευρώπης, με σκοπό την ανταλλαγή εμπειρίας και δεξιοτήτων. 

Το TERENA έχει τέσσερις κύριους πυλώνες δραστηριοτήτων: 

• Παροχή ενός περιβάλλοντος για την ενδυνάμωση των πρωτοβουλιών στην Ευρωπαϊκή ερευνητική 

κοινότητα. 

• Υποστήριξη συντονισμένης δράσης με σκοπό την ανάπτυξη, αξιολόγηση, έλεγχο, ενσωμάτωση 

και προώθηση νέων τεχνολογιών σχετικών με θέματα δικτύωσης, εφαρμογών και middleware, 

διαμέσου του TERENA Technical Programme. 

• Οργάνωση συνεδρίων, ημερίδων και σεμιναρίων για την ανταλλαγή πληροφορίας στην Ευρωπαϊκή 

ερευνητική κοινότητα που ασχολείται με θέματα δικτύωσης, και την μεταφορά τεχνογνωσίας 

σε λιγότερο προχωρημένους οργανισμούς που ασχολούνται με αυτά τα θέματα. 

• Προώθηση των ενδιαφερόντων των μελών του, σε κυβερνήσεις, τη βιομηχανία, όργανα χρηματοδότησης 

και άλλους οργανισμούς. 

Τα κύρια όργανα του TERENA είναι: α) Γενική Συνέλευση (General Assembly-GA), β) Εκτελεστική 

Επιτροπή TERENA (TERENA Executive Committee-TEC), γ) Τεχνική Επιτροπή TERENA (TERE- 

NA Technical Committee-TEC), δ) Τεχνικό Συμβουλευτικό Όργανο TERENA (TERENA Technical 

Advisory Council-TAC) και ε) Γραμματεία TERENA (TERENA Secretariat). 


Οι κυριότεροι νόμοι που μπορούν να αναφερθούν είναι οι ακόλουθοι: 

• Νόμοι του 1999 σχετικά με το Ηλεκτρονικό Έγκλημα (Computer Crime Laws 1999). 

• Νόμος για τις Τηλεπικοινωνίες (Telecommunications Law). 

• Ποινικός Κώδικας (Criminal Code). 

3.3.2.5 Σουηδία 


Σύμφωνα με τα [Abe-06, BSI-04a], η συγκεκριμένη χώρα δεν έχει ξεκάθαρους και επίσημους ορισμούς 

σχετικά με το τι σημαίνει CII και CICIP. Παρόλα αυτά, υπάρχει ξεκάθαρος ορισμός σχετικά 

με το τι σημαίνει «Τελική ευθύνη (Ultimate Responsibility)». 

Η προσέγγιση που ακολουθείται είναι η «Total Defense», που σημαίνει ότι η προστασία των κρίσιμων 

υποδομών ενσωματώνεται στη γενική πολυπλοκότητα της εθνικής άμυνας της χώρας, αποτε- 

20 http://www.terena.org. 



54



λώντας συνδυασμό των: α) Διασφάλιση Πληροφοριών (Information assurance), β) Προστασία κρίσιμων 

υποδομών (Critical infrastructure protection), γ) Αμυντικές λειτουργίες πληροφορίας (Defensive 

information operations) και δ) Αμυντικός πόλεμος πληροφοριών (Defensive information warfare). 

Ο ιδιωτικός τομέας λαμβάνεται υπόψη και ενσωματώνεται στην οργανωτική δομή, σε ικανοποιητικό 

επίπεδο. Παρόλα αυτά, τα μέτρα σχετικά με CIP λαμβάνονται χωρίς ιδιαίτερο συντονισμό, εφόσον 

δεν υπάρχει σχετικός συντονιστικός φορέας. Αποφεύγεται η επικάλυψη δομών ενώ το μοντέλο πρόσβασης 

σε πληροφορίες είναι διαφανές. 


Τον Ιούνιο του 1999 η Επιτροπή Ευπαθειών και Ασφάλειας (Commission on Vulnerability και Security) 

πρότεινε ορισμένα στρατηγικά μέτρα για τη βελτίωση της γενικής σταθερότητας των κρίσιμων τεχνικών 

υποδομών. Η ίδια Επιτροπή πρότεινε μέτρα ειδικά σχεδιασμένα για τη βελτίωση της διασφάλισης 

των πληροφοριών και της προστασίας λειτουργιών που σχετίζονται με τη διαχείριση πληροφοριών. 

Πρότεινε την ανάληψη ευθύνης από την κυβέρνηση αλλά και από τους διαχειριστές και τους ι- 

διοκτήτες των συστημάτων, οι οποίοι οφείλουν να προστατεύουν τα συστήματά τους ενάντια σε εισβολές 

και άλλους τύπους από απειλές σχετικές με ΙΤ. 

Σύμφωνα με τις προτάσεις της ίδιας Επιτροπής, ο ρόλος της κυβέρνησης είναι η υποστήριξη των παραπάνω 

δραστηριοτήτων και η παροχή λειτουργιών και διευκολύνσεων που ξεπερνούν τις οικονομικές 

δυνατότητες άλλων τομέων της κοινωνίας. 

Το Μάρτιο του 2002 δημιουργήθηκε «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφάλεια και την 

πολιτική ετοιμότητας» («Bill on Swedish Security και Preparedness Policy»). Σε αυτό παρουσιάστηκε 

το κυβερνητικό πλαίσιο για ένα νέο σύστημα σχεδιασμού που θα βοηθούσε στην προετοιμασία για 

την αντιμετώπιση μεγάλων κοινωνικών κρίσεων και την ανάληψη δραστηριοτήτων σχετικών με πιθανή 

απειλή ή πόλεμο. Επίσης, παρουσιάστηκαν τρόποι σχετικά με το πώς μπορεί να ενδυναμωθεί 

μια δομή διαχείρισης κρίσεων. 

Τον Ιούλιο του 2002 συστήθηκε η Επιτροπή Διασφάλισης Πληροφοριών στη Σουηδική Κοινωνία 

(Committee on Information Assurance in Swedish Society). Από την Επιτροπή αυτή ζητήθηκε να παρουσιάσει 

μια εκτίμηση σχετικά με τις απαιτήσεις για την ασφάλεια πληροφοριών σε κρίσιμους τομείς 

της κοινωνίας και να κάνει συγκεκριμένες προτάσεις σχετικά με: 

• Οργανωσιακά θέματα της Σουηδικής υπηρεσίας προστασίας σημάτων. 

• Την ανάπτυξη μιας εθνικής στρατηγικής σχετικά με τη διασφάλιση πληροφοριών. 

• Τον τύπο και την εστίαση της μελλοντικής Σουηδικής εμπλοκής σε διεθνείς συνεργασίες σχετικές 

με τη διασφάλιση πληροφοριών. 

• Την υλοποίηση των «Κατευθυντήριων γραμμών του ΟΟΣΑ σχετικά με την ασφάλεια των Δικτύων 

και των ΠΣ» («OECD Guidelines for the Security of Information Systems and Networks»). 

• Την παρακολούθηση της υλοποίησης μέτρων για τη διασφάλιση πληροφοριών μεταξύ υπηρεσιών 

του κράτους σύμφωνα με τα οριζόμενα στο «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφάλεια 

και την πολιτική ετοιμότητας». 

Σαν αποτέλεσμα των εργασιών της, η Επιτροπή παρουσίασε στην κυβέρνηση ένα οργανωτικό πλάνο 

καθώς και ένα εθνικό πλάνο σχετικά με τη διασφάλιση πληροφοριών. 


Σουηδικό Υπουργείο Άμυνας (Swedish Ministry of Defense) 

Στη Σουηδία, το αρμόδιο Υπουργείο Άμυνας (Ministry of Defense – MoD) διαδραματίζει πρωταγωνιστικό 

ρόλο σχετικά με την ασφάλεια και την προστασία κρίσιμων υποδομών. 

Οι σημαντικότερες Υπηρεσίες του Υπουργείου, στο συγκεκριμένο τομέα, είναι οι ακόλουθες: 



55



MoD/Swedish Emergency Management Agency (SEMA) 

Η συγκεκριμένη υπηρεσία είναι υπεύθυνη για το συντονισμό των ενεργειών που αφορούν την εθνική 

διασφάλιση πληροφοριών, σε επίπεδο πολιτικής. Προωθεί την αλληλεπίδραση ιδιωτικού και δημόσιου 

τομέα και συντονίζει τις ενέργειες έρευνας και ανάπτυξης στην περιοχή της διαχείρισης επειγουσών 

καταστάσεων. Έχει τη συνολική κυβερνητική ευθύνη για θέματα διασφάλισης πληροφοριών 

στη Σουηδία. 

Όλα τα θέματα τα χειρίζεται το Information Assurance και Analysis Department του SEMA που αναπτύσσει 

τις ακόλουθες δραστηριότητες: 

• Διατηρεί την επικαιροποιημένη συνολική εικόνα της Σουηδικής κοινωνίας αναφορικά με την α- 

σφάλεια πληροφοριών, αναφορικά με απειλές, ευστάθειες, προστατευτικά μέτρα και κινδύνους. 

• Παρουσιάζει, σε ετήσια βάση, μια εκτίμηση της διασφάλισης πληροφοριών στη Σουηδική κυβέρνηση. 

• Φιλοξενεί διάφορους τόπους συζητήσεων (fora), με συμμετοχή τόσο του ιδιωτικού όσο και του 

δημόσιου τομέα, προκειμένου να αναπτυχθεί μια συνολική εθνική κουλτούρα σε θέματα διασφάλισης 

πληροφοριών. 

• Αναπτύσσει συνεργασίες ιδιωτικού και δημόσιου τομέα. 

• Συγκεντρώνει, αναλύει και διαχέει πληροφορία αναφορικά με τη διασφάλιση πληροφοριών. 

• Αναπτύσσει συστάσεις σχετικά με την πρόληψη, σε θέματα ασφάλειας πληροφοριών, με χρήση 

του ISO/IEC 17799. 

• Διαχειρίζεται το Συμβούλιο Διασφάλισης Πληροφοριών (Board of Information Assurance). 

Στο SEMA λειτουργεί το Συμβούλιο Διασφάλισης Πληροφοριών (Information Assurance Council), 

που ιδρύθηκε με σκοπό να υποστηρίξει τις δραστηριότητές του σε θέματα διασφάλισης πληροφοριών. 

Το συγκεκριμένο Συμβούλιο βοηθά την ανώτερη διοίκηση του SEMA παρέχοντας πληροφόρηση 

σχετικά με τις ερευνητικές και τεχνολογικές τάσεις σε θέματα διασφάλισης πληροφοριών και υποδεικνύοντας 

σχετικές προτάσεις και απόψεις σχετικά με τις κατευθύνσεις, τις προτεραιότητες και την υ- 

λοποίηση συγκεκριμένων δράσεων. 

MoD/Swedish Defense Materiel Administration (FMV) 

Αποτελεί την Υπηρεσία Προμηθειών (procurement agency) του Υπουργείου Άμυνας της Σουηδίας και 

ασχολείται με θέματα αξιολογήσεων σε θέματα ΙΤ security, για τις ένοπλες δυνάμεις, από το 1989. 

MoD/FMV/Certification Body for IT Security (CSEC) 

Ιδρύθηκε, ως ανεξάρτητη οντότητα μέσα στο FMV, το καλοκαίρι του 2002 με κύριο έργο την αξιολόγηση 

και πιστοποίησης προϊόντων IT security (IT security products certification και evaluation), που 

πρόκειται να χρησιμοποιηθούν από Σουηδικούς κυβερνητικούς οργανισμούς. 

MoD/National Defense Radio Establishment (FRA) 

Πρόκειται για τον οργανισμό που ασχολείται με τις πληροφορίες τις σχετικές με τα σήματα (signals 

intelligence) και σύντομα θα μετονομαστεί σε Institute for Signals Intelligence and Technical Information 

(IST). 

O συγκεκριμένος Οργανισμός διαθέτει την Ομάδα Τεχνικής Υποστήριξης σε θέματα Ασφάλειας (Information 

Security Technical Support Team). Αυτή αποτελείται από 20 ειδικούς στο πεδίο της Ασφάλειας 

ΙΤ, με κύριο σκοπό την παροχή υποστήριξης σε θέματα διαχείρισης εθνικών κρίσεων και την α- 

ναγνώριση ατόμων και οργανισμών που σχετίζονται με απειλές ΙΤ κατά κρίσιμων συστημάτων. Σε 

περίπτωση που υπάρξει σχετικό αίτημα, η ομάδα υποστηρίζει τις Σουηδικές αρχές, υπηρεσίες και δημόσιες 

επιχειρήσεις που είναι υπεύθυνες για κρίσιμες λειτουργίες της κοινωνίας, με παροχή σχετικών 

υπηρεσιών και εξειδίκευσης. Οι παρεχόμενες υπηρεσίες περιλαμβάνουν, μεταξύ άλλων: α) ελέγχους 

(audits), β) ελέγχους διείσδυσης (penetration tests) και γ) ανάλυση πηγαίου κώδικα για την εξέταση 



56



πειστηρίων στο πλαίσιο έρευνας. Η ομάδα συνεργάζεται σε τακτική βάση με την εθνική και διεθνή 

κοινότητα που ασχολείται με θέματα ασφάλειας. 

Swedish Armed Forces 

Έχουν αναπτυχθεί βάσει του μοντέλου «network-based defense». Εμπλέκονται ενεργά σε θέματα α- 

σφάλειας ΙΤ και πληροφοριακών υποδομών. 

Swedish Military Intelligence and Security Service 

Η συγκεκριμένη Υπηρεσία χειρίζεται θέματα ασφάλειας IT στις Ένοπλες Δυνάμεις, σε καιρό ειρήνης. 

National Communications Security Group (TSA) 

Παρέχει συμβουλές και επιθεωρήσεις κρυπτογραφικών συστημάτων σε Σουηδικούς αμυντικούς οργανισμούς 

και βιομηχανίες. 

Center for Asymmetric Threat Studies (CATS) 

Παλιότερα ήταν γνωστό ως National Center for IO/CIP Studies (CIOS) και στεγάζεται στο Swedish 

National Defense College. Επέκτεινε τις δραστηριότητές του ώστε να συμπεριλάβει στις Λειτουργίες 

Πληροφοριών (Information Operations - IO) και την έννοια της τρομοκρατίας π.χ. κυβερνοτρομοκρατία. 

Διεξάγει έρευνα και ανάπτυξη πολιτικών στους τομείς CIP/CICIP, IO, PSYOPS (ψυχολογικός 

πόλεμος). Χρηματοδοτείται από το ΜοD και το SEMA. 

Swedish Defense Research Agency (FOI) 

Εστιάζει σε θέματα έρευνας και τεχνολογικής ανάπτυξης στους τομείς εφαρμοσμένων φυσικών και 

πολιτικών επιστημών, όπως ανάλυση πολιτικών ασφάλειας. Η Διεύθυνση Αμυντικής Ανάλυσης (Division 

of Defense Analysis) περιλαμβάνει την ερευνητική ομάδα Critical Infrastructure Studies Unit 

(CISU) που εκπονεί μακροχρόνια ερευνητικά προγράμματα σχετικά με CIP, που χρηματοδοτούνται 

από το SEMA. 

Σουηδικό Υπουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών (Swedish Ministry of Industry, 

Employment, and Communications) 

Ένα άλλο Υπουργείο που διαδραματίζει σημαντικό ρόλο σε θέματα CICIP είναι και το Σουηδικό Υ- 

πουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών. Οι σημαντικότεροι φορείς του είναι οι ακόλουθοι: 

Swedish National Post and Telecom Agency (PTS) 

Αποτελεί κυβερνητική αρχή που παρακολουθεί όλα τα θέματα που σχετίζονται με ΤΠΕ και υπηρεσίες 

ταχυδρομείων. Το Τμήμα Ασφάλειας Δικτύων (Department of Network Security) της συγκεκριμενης 

αρχής είναι υπεύθυνο για θέματα ασφάλειας σχετικά με ΤΠΕ και σχετίζεται με το Swedish IT Incident 

Center. 

Σουηδικό Υπουργείο Δικαιοσύνης (Swedish Department of Justice) 

Το Σουηδικό Υπουργείο Δικαιοσύνης έχει ρόλο σε θέματα CICIP, μέσω των παρακάτω φορέων του: 

Swedish National Police Board (NPB) 

Αποτελεί την κεντρική διοικητική και επιβλέπουσα αρχή της Αστυνομίας. Διοικεί τη National Criminal 

Police και την Swedish Security Service. Το IT Crime Squad της Αρχής αυτής διαθέτει εμπειρία 

σε έρευνες εγκλημάτων και παρέχει σχετική υποστήριξη στα τοπικά Σουηδικά Αστυνομικά Τμήματα. 

Σχετίζεται με το Internet Reconnaissance Unit. 

Τέλος, η Swedish Security Service (SÄPO) έχει το θεμελιώδες καθήκον της πρόληψης και της ανίχνευσης 

εγκλημάτων που σχετίζονται με την ασφάλεια. 



57



Συνεργασίες Ιδιωτικού – Δημόσιου Τομέα (PPP) 

Στη Σουηδία έχουν δημιουργηθεί οι εξής συνεργασίες ιδιωτικού-δημόσιου τομέα: 

Swedish Emergency Management Agency (SEMA) 

Η συγκεκριμένη υπηρεσία προάγει την αλληλεπίδραση μεταξύ δημόσιου και ιδιωτικού τομέα και εργάζεται 

με σκοπό να διασφαλίσει ότι η εμπειρία των Μη Κυβερνητικών Οργανισμών (MKO) λαμβάνεται 

υπόψη στη διαχείριση κρίσεων. 

Υπάρχουν δύο συμβουλευτικά όργανα (advisory councils) που συνδέονται με το SEMA: το Private 

Sector Partnership Advisory Council και το Board of Information Assurance. 

Industry Security Delegation (NSD) 

Αποτελεί μέρος της Συνομοσπονδίας των Σουηδικών Επιχειρήσεων (Confederation of Swedish Enterprise). 

Έχει ως αντικειμενικό στόχο την αύξηση της συνεργασίας μεταξύ επιχειρήσεων, οργανισμών 

και αρχών και την προώθηση αναλυτικών απόψεων σχετικά με θέματα ασφάλειας και ευπαθειών. 

Η κύρια επιδίωξη της συγκεκριμένης δικτυακής δομής είναι η βελτίωση της ευαισθητοποίησης (awareness) 

σε θέματα ασφάλειας και κινδύνων τόσο του γενικού κοινού όσο και του τομέα των επιχειρήσεων. 

Ο συγκεκριμένος οργανισμός προωθεί εκπαιδευτικά σεμινάρια σε θέματα διασφάλισης πληροφοριών 

(information assurance) καθώς και σε θέματα διαχείρισης κρίσεων και κινδύνων (crisis και 

risk management) ώστε να βοηθήσει τα μέλη του να συνεισφέρουν στη βελτίωση της ασφάλειας. 

Swedish Information Processing Society (DFS) 

Αποτελεί ανεξάρτητο οργανισμό για επαγγελματίες ΙΤ και αριθμεί 32000 μέλη. Εστιάζεται σε θέματα 

ανάλυσης κινδύνων και ασφάλειας πληροφοριών και θεωρείται de-facto Σουηδικό πρότυπο. 


Από το Μάιο του 2002 η αντίστοιχη Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) 

της Σουηδίας (Swedish National Post and Telecom Agency - PTS) έχει δημιουργήσει το Swedish IT 

Incident Centre (SITIC) που, ουσιαστικά, μπορεί να θεωρηθεί το CERT της Σουηδικής κυβέρνησης. 

Το κέντρο αυτό υποστηρίζει εθνικές δραστηριότητες για την προστασία ενάντια σε περιστατικά ΙΤ, 

που συνοψίζονται: α) Στη λειτουργία ενός συστήματος για την ανταλλαγή πληροφοριών σχετικά με 

περιστατικά ΙΤ, β) Σστην πληροφόρηση του κοινού σχετικά με προβλήματα που μπορεί να δημιουργήσουν 

δυσλειτουργία στα συστήματα ΙΤ και γ) στην Παροχή πληροφόρησης σχετικά με μέτρα απότροπής 

(preventive measures). 

Δημοσίευση στατιστικών στοιχείων σχετικά με τα περιστατικά. 


Κυριότεροι σημαντικοί νόμοι είναι οι ακόλουθοι: 

• Σουηδικός Ποινικός Κώδικας (Swedish Penal Code), SFS 1962:700. 

• Νομοθετική Πράξη σχετικά με τα Προσωπικά Δεδομένα (Personal Data Act), SFS 1998:204. 

• Νομοθετική Πράξη σχετικά με τις Ηλεκτρονικές Επικοινωνίες (Electronic Communications Act) 

SFS 2003:389. 

3.3.3 Χώρες εκτός Ευρώπης 

Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθούνται 

από συγκεκριμένες χώρες εκτός Ευρώπης που είναι περισσότερο ώριμες, σε σχέση με άλλες, 

αναφορικά με την προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών τους. 



58



3.3.3.1 Ηνωμένες Πολιτείες Αμερικής 


Σύμφωνα με τα [Abe-06, BSI-04a], η προστασία των κρίσιμων υποδομών αποτελεί ύψιστη προτεραιότητα, 

μετά τα γεγονότα της 11 ης Σεπτεμβρίου 2001. Το σύστημα πρόσβασης σε πληροφορίες είναι 

διαφανές ενώ η συνεργασία με τον ιδιωτικό τομέα δουλεύει πολύ καλά, καθώς υπάρχουν ισχυροί 

σύνδεσμοι μεταξύ της επιχειρηματικής κοινότητας του ιδιωτικού τομέα και διαφόρων κυβερνητικών 

οργανισμών. Υπάρχουν ξεκάθαροι ορισμοί σχετικά με το τί σημαίνουν κρίσιμοι τομείς και CIP, ενώ 

το θέμα CICIP ενσωματώνεται μέσα στις γενικότερες αντιτρομοκρατικές προσπάθειες, όπου η κοινότητα 

που ασχολείται με την ανάλυση πληροφοριών (intelligence) διαδραματίζει σημαντικό ρόλο. 


Η Πρώτη εθνική προσπάθεια να οριστούν οι ευπάθειες της «εποχής της πληροφορίας» έγινε από τον 

Πρόεδρο Bill Clinton το 1996 με την «Presidential Commission on Critical Infrastructure Protection 

(PCCIP)». Η Επιτροπή περιελάμβανε αντιπροσώπους από όλα τα σχετικά κυβερνητικά τμήματα καθώς 

και από τον ιδιωτικό τομέα και τα αποτελέσματα της παρουσιάστηκαν σε αναφορά προς τον 

Πρόεδρο τον Οκτώβριο του 1997. Η κυριότερη απόφαση που ελήφθηκε ήταν η καλλιέργεια της συνεργασίας 

ιδιωτικού τομέα και κυβέρνησης. Δεν υφίσταται πια σαν Επιτροπή, καθώς οι λειτουργίες 

της ανακατευθύνθηκαν στην HSPD-7 (περιγράφεται αναλυτικά παρακάτω). 

Το Μάιο του 1998, βάσει των υποδείξεων της PCCIP, εκδόθηκαν οι «Presidential Decision Directives 

(PDD) 62 and 63». Καθόρισαν όργανα για τη χάραξη και επίβλεψη της πολιτικής, χρησιμοποιώντας 

υπάρχουσες κυβερνητικές υπηρεσίες και αρχές. 

Με την PDD 63 δημιουργήθηκαν ομάδες, στο πλαίσιο της ομοσπονδιακής κυβέρνησης, με σκοπό την 

ανάπτυξη και την υλοποίηση πλάνων για την προστασία των υποδομών που χρησιμοποιούνται από 

την κυβέρνηση. Στο πλαίσιο αυτά, προκλήθηκε διάλογος μεταξύ κυβέρνησης και ιδιωτικού τομέα για 

την ανάπτυξη ενός “National Infrastructure Assurance Plan”. 

Το «National Plan for Information Systems Protection» παρουσιάστηκε στις 07 Ιανουαρίου 2000 από 

τον Πρόεδρο Clinton και εστίασε στην ασφάλεια των cyber-components των κρίσιμων υποδομών, 

αλλά όχι των physical components. Ονομάστηκε «Defending America’s Cyberspace. National Plan 

for Information Systems Protection - An Invitation to Dialogue Version 1.0» [USA-00] και ενδυνάμωσε 

την αντίληψη ότι η κυβερνο-ασφάλεια αποτελεί κοινή αρμοδιότητα κυβέρνησης και ιδιωτικού 

τομέα. 

Το Σεπτέμβριο του 2001 υπογράφηκαν από τον Πρόεδρο Bush, μετά τα γεγονότα της 11ης Σεπτεμβρίου, 

οι «Homeland Security Executive Orders (ΕΟ)». Πρόκειται για την ΕΟ 13228 – «Establishing 

the Office of Homeland Security and the Homeland Security Council» (08/10/2001) και την ΕΟ 

13231 – «Critical Infrastructure Protection in the Information Age» με την οποία ιδρύθηκαν το «President’s 

Critical Infrastructure Protection Board» και το «National Infrastructure Advisory Council 

(NIAC)». 

Στις 17 Δεκεμβρίου 2003 εκδόθηκε η «Homeland Security Presidential Directive/HSPD-7» που αντικατέστησε 

την PDD 63. Η HSPD-7 καθιέρωσε εθνική πολιτική για τις ομοσπονδιακές υπηρεσίες με 

σκοπό να προσδιορίσουν και να θέσουν προτεραιότητες για την προστασία των κρίσιμων υποδομών 

των ΗΠΑ. Προσδιόρισε τις κυβερνητικές Yπηρεσίες που είναι υπεύθυνες για το συντονισμό της προστασίας 

συγκεκριμένων κρίσιμων τομέων υποδομών και καθόρισε τις Yπηρεσίες που θα πρέπει να ε- 

πιδιώξουν τη συνεργασία με τον ιδιωτικό τομέα. 

Επίσης, απαίτησε, μέχρι τον Ιούλιο του 2004, την εκπόνηση συγκεκριμένων πλάνων, από τους επικεφαλείς 

όλων των ομοσπονδιακών υπηρεσιών, για την προστασία των κρίσιμων υποδομών και καθόρισε 

τη Secretary of Homeland Security (Department of Homeland Security, DHS) ως «…The principal 

Federal official to lead, integrate, and coordinate implementation of efforts among Federal departments 

and agencies, State and local governments, and the private sector to protect critical infrastructure 

and key resources…». 



59



Τον Ιούλιο του 2002 εκδόθηκε η «National Strategy for Homeland Security» [HSC-07, USA-07], με 

σκοπό την προστασία της ενδοχώρας (US Homeland) από τρομοκρατικές επιθέσεις. 

Στις 14 Δεκεμβρίου 2003 εκδόθηκαν δύο Εθνικές Στρατηγικές: 

• National Strategy to Secure Cyberspace (NSSC): Με κύριο στόχο να διαμορφωθούν εθνικές πολιτικές 

που θα εμπλέξουν τους πολίτες σε θέματα ασφάλειας του μέρους του κυβερνοχώρου που 

τους ανήκει, με το οποίο αλληλεπιδρούν, και το οποίο ελέγχουν και λειτουργούν. 

• National Strategy for Physical Protection of Critical Infrastructure and Key Assets [USA-03c]: 

Με κύριο στόχο τη μείωση των ευπαθειών του έθνους που σχετίζονται με τρομοκρατικές δράσεις, 

μέσω της μείωσης των ευπαθειών που αφορούν τις κρίσιμες υποδομές και των ευπαθειών των 

σημαντικών αγαθών, που σχετίζονται με φυσικές επιθέσεις. 

Τέλος, το «National Infrastructure Protection Plan (NIPP)», που αναπτύχθηκε από το DHS, αντιπροσωπεύει 

την κατάσταση ετοιμότητας (“ready state” preparedness) των ιδιοκτητών και διαχειριστών 

των κρίσιμων υποδομών. 


Παλαιότερα, δύο Υπηρεσίες είχαν την κύρια αρμοδιότητα για το συντονισμό της πολιτικής CIP των 

ΗΠΑ, το «Critical Infrastructure Assurance Office (CIAO)», που παλιά αποτελούσε μέρος του Υ- 

πουργείου Εμπορίου, και το «National Infrastructure Protection Center (NIPC)», που παλιά απότελούσε 

Διεύθυνση του Federal Bureau of Investigation (FBI). Βάσει των προηγούμενων κατευθυντήριων 

γραμμών, που περιγράφησαν στην προηγούμενη ενότητα, και της δημιουργίας του DHS, οι 

δραστηριότητες τους απορροφήθηκαν από αυτό. 

Το Critical Infrastructure Assurance Office (CIAO), δημιουργήθηκε τον Μάιο του 1998 και αποτελεί 

μερος του Directorate for Information Analysis and Infrastructure Protection (IAIP) του DHS. Οι αρμοδιότητές 

του εκχωρήθηκαν στο Planning and Partnership Office (PPO) του IAIP. Οι κύριες δραστηριότητες 

του περιλαμβάνουν: 

• Συντονισμό και υλοποίηση της εθνικής στρατηγικής. 

• Εκτίμηση της έκθεσης σε κίνδυνο της κυβέρνησης καθώς και των εξαρτήσεων σε CI. 

• Ευαισθητοποίηση του κοινού και συμμετοχή σε προσπάθειες σχετικά με CIP. 

• Συντονισμών τόσο σε επίπεδο νομοθεσίας όσο και σε επίπεδο δημόσιων υποθέσεων ώστε να ενσωματωθούν 

οι στόχοι της διασφάλισης πληροφοριών στις προσπάθειες τόσο του ιδιωτικού όσο 

και του δημόσιου τομέα. 

To 1998 το Office of Computer Investigation and Infrastructure Protection (OCICIP) επεκτάθηκε και 

αποτέλεσε το National Infrastructure Protection Center (NIPC), με έδρα το FBI. Αυτή τη στιγμή και 

αυτό αποτελεί κομμάτι του IAIP του DHS. 

Η ανάγκη για τη δημιουργία του «Department of Homeland Security (DHS)» 21 έγινε επιτακτική η 

ανάγκη για τη δημιουργία του μετά τα γεγονότα της 11 ης Σεπτεμβρίου 2001. Αποτελεί τη μεγαλύτερη 

ομοσπονδιακή αναδιοργάνωση μετά το 1947, που συνένωσε 22 υπάρχουσες ομοσπονδιακές Υπηρεσίες. 

Οι ρόλοι του DHS, αναφορικά με την προστασία των κρίσιμων πληροφοριακών υποδομών, συνοψίζονται 

στα ακόλουθα: 

• Ανάπτυξη ενός περιεκτικού εθνικού πλάνου για την προστασία των σημαντικών πόρων και κρίσιμων 

υποδομών των ΗΠΑ. 

• Παροχή δυνατότητας διαχείρισης κρίσεων σε περιπτώσεις επιθέσεων σε κρίσιμα πληροφοριακά 

συστήματα. 

• Παροχή τεχνικής υποστήριξης και πλάνων ανάκαμψης από καταστροφές, τόσο στον ιδιωτικό τομέα 

όσο και σε άλλες κυβερνητικές υπηρεσίες. 

21 http://www.dhs.gov. 



60



• Συντονισμός με άλλες κυβερνητικές υπηρεσίες, για την παροχή συγκεκριμένης προειδοποιητικής 

πληροφόρησης και προστατευτικών μέτρων, καθώς και για τη χρηματοδότηση έρευνας και αναπτυξης. 

• Προώθηση πληροφοριών σχετικά με κυβερνοασφάλεια στον ιδιωτικό τομέα. 

Το DHS διαιρείται σε πέντε Διευθύνσεις (Directorates): α) Border και Transportation Security, β) E- 

mergency Preparedness and Response, γ) Science and Technology, δ) Information Analysis and Infrastructure 

Protection (IAIP) και ε) Management. Επιπρόσθετα, σε αυτό ενσωματώθηκαν, σταδιακά, 

και άλλες Υπηρεσίες, όπως: α) US Coast Guard, β) US Secret Service, γ) Bureau of Citizenship και 

δ) Immigration Services. Μια σημαντική αναδιοργάνωση του DHS έλαβε χώρα το 2005, οπότε δημιουργήθηκε 

μια νέα Διεύθυνση Ετοιμότητας (Preparedness Directorate) και μια νέα Γραμματεία με 

την ονομασία Assistant Secretary for Cyber-security and Telecommunications. 

Το Directorate for Information Analysis and Infrastructure Protection (IAIP) του DHS είναι υπεύθυνο 

για τον προσδιορισμό και την εκτίμηση των τωρινών και μελλοντικών απειλών και ευπαθειών της 

χώρας, την έγκαιρη προειδοποίηση και την ανάληψη προληπτικής δράσης. Ανέλαβε τις αρμοδιότητες 

των προγενέστερων Υπηρεσιών CIAO και NIPC, καθώς και του Federal Computer Incident Response 

Center (FedCIRC). Επίσης, συμπεριέλαβε και τις λειτουργίες τόσο του National Communication 

Systems (Department of Defense), δεδομένου ότι οι CIs εξαρτώνται άμεσα από πληροφοριακές και 

τηλεπικοινωνιακές υποδομές και από τις αλληλοεξαρτήσεις τους, όσο και μερικές αρμοδιότητες του 

Energy Security and Assurance Program (Department of Energy). 

Το IAIP αποτελείται από τέσσερις διευθύνσεις: α) Infrastructure Coordination Division (ICD), β) National 

Cyber Security Division (NCSD), γ) Protective Services Division (PSD) και δ) Νational 

Communications System Division (NCS). 

Άλλο σημαντικό όργανο των ΗΠΑ, σχετικά με θέματα CICIP είναι το Homeland Security Council, 

που αποτελεί εκτελεστική οντότητα, επιφορτισμένη με την παροχή συμβουλών στον Πρόεδρο σχετικά 

με θέματα ασφάλειας της ενδοχώρας (homeland security matters). Αποτελείται από μια Προϊσταμένη 

Επιτροπή (Principals Committee) και από Συντονιστικές Επιτροπές (Coordination Committees), 

μια εκ των οποίων εστιάζει σε θέματα CI. 

Οι αντιπρόσωποι της Προϊστάμενης Επιτροπής είναι οι ακόλουθοι: α) Secretary of homeland security, 

β) Secretary of the treasury, γ) Secretary of defense, δ) Attorney-general, ε) Secretary of health and 

human services, στ) Secretary of transportation, ζ) Budget director for central intelligence, η) FBI director, 

θ) Federal Emergency Management Agency (FEMA) director ι) Chief of staff to the president 

και κ) Chief of staff to the vice-president. 

Το US Department of State συντονίζει διεθνή θέματα σχετικά με CICIP και συνεργάζεται με άλλες 

Υπηρεσίες, όπως Departments of Homeland Security, Justice, Defense, Commerce, Energy, Treasury, 

and Transportation, Intelligence community, για τη χάραξη της καθολικής στρατηγικής. Το συγκεκριμένο 

Υπουργείο προεδρεύει στo International CIP Interagency Working Group όπου έχει συντονιστικό 

ρόλο και εποπτεύει την υλοποίηση των εκάστοτε συμφωνιών. 

Το Computer Crime and Intellectual Property Section (CCIPS) αποτελεί μέρος του Criminal Division 

του Department of Justice. Είναι υπεύθυνο για την υλοποίηση των εθνικών στρατηγικών του Υπουργείου 

για την αντιμετώπιση εγκλημάτων που σχετίζονται με τους υπολογιστές και τα πνευματικά δικαιώματα, 

σε παγκόσμια κλίμακα. 

Το Government Accountability Office (GAO) αποτελεί τον ανακριτικό/ερευνητικό βραχίονα (investigative 

arm) του Κογκρέσου. 

Το National Science Foundation (NSF) 22 [Rah-05] χρηματοδοτεί ακαδημαϊκά ινστιτούτα για την υποστηριξη 

του ομοσπονδιακού ερευνητικού προγράμματος σχετικά με την κυβερνοασφάλεια των πολιτών. 

22 http://www.nsf.gov. 



61



Το National Institute of Standards και Technology (NIST) 23 [Rah-05] έχει ως κύρια αποστολή τη αναπτυξη 

μετρήσεων και δραστηριοτήτων σχετικά με πρότυπα που διαδραματίζουν ρόλο-κλειδί στη διευκόλυνση 

της μεταφοράς τεχνογνωσίας. Οι δραστηριότητές του στον τομέα της Ασφάλειας Η/Υ περιλαμβάνουν 

την ανάπτυξη κρυπτογραφικών προτύπων, την ηλεκτρονική αυθεντικοποίηση και την ε- 

νασχόληση με αναδυόμενες τεχνολογίες. 


Οι κυριότερες συμπράξεις ιδιωτικού-δημόσιου τομέα που έχουν αναπτυχθεί στις ΗΠΑ είναι οι ακόλουθες: 

DHS/Office of the Private Sector 

Παρέχει στις επιχειρήσεις μια απευθείας γραμμή στο Υπουργείο. 

Information Sharing and Analysis Centers (ISACs) 

Αποτελούν οργανισμούς με μέλη που η διαχείρισή τους γίνεται από τον ιδιωτικό τομέα. 

Ένα Συμβούλιο Διευθυντών (Board of Directors) καθορίζει τις διαδικασίες σύστασης και λειτουργίας 

του. Οι κύριες λειτουργίες του είναι η συλλογή, ανάλυση και διάχυση πληροφοριών σχετικά με την 

ασφάλεια, τα περιστατικά και την απόκριση μεταξύ των μελών των ISAC καθώς και με άλλα ISAC. 

Επίσης, διευκολύνει την ανταλλαγή πληροφορίας μεταξύ της κυβέρνησης και του ιδιωτικού τομέα. 

Υπάρχουσες ISAC 24 είναι οι ακόλουθες: 

• Financial Services Information Sharing and Analysis Center (FS/ISAC) 

• Telecoms industry ISAC via National Coordinating Center (NCC) 

• Electric power sector ISAC via North American Electricity Reliability Council (NERC) 

• IT-ISAC, with Members Microsoft, CISCO, Intel, CA, Oracle, Symantec, etc. 

• Surface Transportation ISAC, Oil Gas ISAC, Water Supply ISAC, Chemicals Industry ISAC, E- 

mergency Fire Services ISAC, Emergency Law Enforcement ISAC, Food ISAC, Health ISAC, 

Multi-State ISAC 

• ISAC Council 

InfraGard 25 

Αποτελεί συνεταιρισμό μεταξύ της βιομηχανίας και των ΗΠΑ, όπως αντιπροσωπεύεται από το FBI. 

National Cyber Security Alliance (NCSA) 26 

Αποτελεί συνεργατική προσπάθεια μεταξύ της βιομηχανίας και κυβερνητικών οργανισμών ώστε να 

καλλιεργηθεί η ενημέρωση σε θέματα κυβερνοασφάλειας διαμέσου εκπαιδεύσεων και ενημέρωσης 

του κοινού. 

Partnership for Critical Infrastructure Security (PCIS) 27 

Αποτελεί συνασπισμό του ιδιωτικού τομέα που αποτελείται από συντονιστές κρίσιμων υποδομών. 

Εργάζεται με σκοπό την ανάπτυξη από κοινού πολιτικών για την ασφάλεια των CΙs, ενώ εξετάζει και 

διατομεακά θέματα. 

23 http://www.nist.gov. 

24 http://www.it-isac.org. 

25 http://www.infragard.net. 

26 http://www.staysafeonline.org. 

27 http://www.pcis.org. 



62



Cyber Incident Detection και Data Analysis Center (CIDDAC) 

Αποτελεί την πρώτυη ιδιωτική μη-κερδοσκοπική ομάδα που έστησε ένα δίκτυο ανίχνευσης κυβερνοεγκλήματος, 

χωριστά από τις προσπάθειες της ίδιας της κυβέρνησης των ΗΠΑ. Ο κύριος σκοπός του 

είναι η διαχείριση μιας υποδομής που θα παρέχει αυτοματοποιημένες αναφορές για κυβερνοεπιθέσεις, 

με σκοπό την υποστήριξη της προστασίας των κρίσιμων υποδομών. 

National Cyber Security Partnership (NCSP) 

Αποτελεί εθελοντικό συνασπισμό εμπορικών οργανισμών της βιομηχανίας αφοσιωμένο στην εξέταση 

διατομεακών θεμάτων κυβερνοασφάλειας, με συνεργατικό τρόπο. Μερικά από τα ιδρυτικά του 

μελη είναι: Chamber of Commerce, TechNet, Business Software Alliance, Information Technology 

Association of America (ITAA). 

Institute for Information Infrastructure Protection (I3P) 28 

Ιδρύθηκε το 2001 και η διαχείρισή του γίνεται από το Dartmouth College. Αποτελεί μια συνεργασία 

από εθνικά ινστιτούτα που κατέχουν ηγετική θέση σε θέματα κυβερνοασφάλειας, περιλαμβανομένων 

ακαδημαϊκών ερευνητικών κέντρων, κυβερνητικών εργαστηρίων, και μη κυβερνητικών οργανισμών. 


Στη ενότητα αυτή περιγράφονται, συνοπτικά, οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγισης 

κοινού που έχουν δημιουργηθεί στις ΗΠΑ: 

Federal Bureau of Investigation (FBI) 

Παλαιότερα λειτουργούσε, μέσω του NIPC, τώρα είναι πιθανή η προσέγγιση και ενημέρωση του κοινού 

να γίνεται μέσα από το US-CERT. 

Directorate for Information Analysis and Infrastructure Protection (IAIP) 

Συλλέγει και αναλύει πληροφορία από διάφορες πηγές, συμπεριλαμβανομένων των CIA, FBI, Defense 

Intelligence Agency (DIA), National Security Agency (NSA), και δημοσιεύει έγκαιρες προειδοποιήσεις 

(early warnings) τρομοκρατικών επιθέσεων. 

IAIP/National Cyber Security Division (NCSD) 

Τον Ιανουάριο του 2004 δημιουργήθηκε το «National Cyber Alert System», ένα επιχειρησιακό σύστημα 

που προσφέρει έγκαιρη πληροφορία με σκοπό την καλύτερη προστασία των ΗΠΑ 29 . Επίσης, 

το Federal Computer Incident Response Center (FedCIRC), αποτελεί πλέον μέρος του NCSD, και 

παρέχει στις υπηρεσίες τα κατάλληλα εργαλεία για την ανίχνευση κυβερνοεπιθέσεων και την απόκριση 

σε αυτές. 

CERT Coordination Center (CERT/CC) - Carnegie Mellon University 

Ιδρύθηκε το 1998 και λειτουργεί ως το συντονιστικό κομβικό σημείο των ειδικών κατά τη διάρκεια 

των περιστατικών ασφάλειας, και δουλεύει προς την κατεύθυνση της αποφυγής μελλοντικών ατυχημάτων. 

US-CERT 

Δημιουργήθηκε από το DHS και το CERT/CC και συνεργάζεται με το IAIP/NCSD. 

Internet Security Alliance 

Δημιουργήθηκε τον Απρίλιο του 2001, σαν ένας δημόσιος τόπος συζήτησης (forum) για την ανταλλαγή 

πληροφοριών σχετικά με θέματα ασφάλειας. 

28 http://www.thei3p.org. 

29 http://www.us-cert.gov/cas. 



63



Information Sharing and Analysis Centers (ISACs) 

Ουσιαστικά αποτελούν μια βάση δεδομένων έγκαιρης προειδοποιήσης, όπου οι ιδιοκτήτες και οι διαχειριστές 

του ιδιωτικού τομέα έχουν τη δυνατότητα να παρακολουθούν περιστατικά και να διαχέουν 

την πληροφορία σε ένα κεντρικό σημείο επαφής για την ανταλλαγή πληροφορίας, και στη συνέχεια 

να διανείμουν την πληροφορία στα μέλη του ISAC. 

OnGuardOnline.gov (operated by Federal Trade Commission, help from DHS) 

Παρέχει πρακτικές συμβουλές προερχόμενες από την ομοσπονδιακή κυβέρνηση και τη βιομηχανία 

τεχνολογίας για να βοηθήσει τους χρήστες να είναι σε επιφυλακή ενάντια σε περιπτώσεις εξαπάτησης 

μέσω Διαδικτύου (internet fraud), να ασφαλίζουν τους υπολογιστές τους και να προστετεύουν τις 

προσωπικές τους πληροφορίες. 


Οι κυριότεροι νόμοι στις ΗΠΑ που σχετίζονται με θέματα CICIP είναι οι ακόλουθοι: 

• Federal Advisory Committee Act (FACA) 1972. 

• Computer Fraud and Abuse Act (CFAA) 1986. 

• Homeland Security Act 2002. 

• Critical Infrastructure Information Act: Procedures for Handling Critical. 

• Infrastructure Information. 

• Freedom of Information Act (FOIA). 

• Terrorism Risk Insurance Act 2002. 

3.3.3.2 Αυστραλία 


Σύμφωνα με τα [Abe-06, AUS-06, BSI-04a, Obe-06] στην Αυστραλία ακολουθείται η προσέγγιση 

«All Hazards», ενώ το μοντέλο CICIP είναι ημιδιαφανές. 


Σχετικά με τις πρωτοβουλίες και τις πολιτικές που έχουν αναπτυχθεί σε θέματα CICIP, οι σχετικές 

δράσεις έχουν ξεκινήσει από το 1999, όταν εκδόθηκε η «Australian Government policy on National 

Information Infrastructure (NII) protection», ως υποσύνολο του CIP. 

To 2001, παρουσιάστηκε η «E-Security National Agenda (ESNA)», και ακολούθησε το 2003 το «National 

Counter-Terrorism Plan (NCTP)», η δεύτερη έκδοση του οποίου παρουσιάστηκε το 2005, ό- 

που το CICIP ως μέρος της συνολικής προσπάθειας καταπολέμησης της τρομοκρατίας. 

Το 2006 εκδόθηκε το «ESNA review», με τον καθορισμό τριών νέων προτεραιοτήτων: 

• Gov ICT: Με στόχο τη μείωση των κινδύνων της σχετικά με την ασφάλεια των πληροφοριακών 

και επικοινωνιακών συστημάτων της Αυστραλιανής Κυβέρνησης. 

• National Information Infrastructures: μείωση των κινδύνων σχετικά με την ασφάλεια των κρίσιμων 

εθνικών υποδομών της Αυστραλίας. 

• Consumers, Companies: Βελτίωση της προστασίας των οικιακών χρηστών και των μικρομεσαίων 

επιχειρήσεων από ηλεκτρονικές επιθέσεις και από απάτη. 


Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στην Αυστραλία είναι οι ακόλουθες: 

Δημόσιες Υπηρεσίες 



64



E-Security Coordination Group (ESCG) 

Αποτελεί το κύριο όργανο για το συντονισμό και την ανάπτυξη πολιτικής σε μη κρίσιμες περιοχές 

της ηλεκτρονικής ασφάλειας, σε επίπεδο κυβέρνησης αλλά και στην ευρύτερη κοινωνία. 

Information Infrastructure Protection Group (IIGP) 

Αποτελεί διατμηματικό επιτροπή της Αυστραλιανής κυβέρνησης, υπεύθυνη για το συντονισμό της 

πολιτικής και την παροχή τεχνικών συμβουλών/απόκρισης σε σχέση με επιθέσεις σε ΝΙΙ. Μέλη της 

συγκεκριμένης υπηρεσίας (μεταξύ άλλων, στρατός, υπηρεσίες, πληροφοριών) είναι οι α) Defence 

Signals Directorate (DSD), β) Australian Security Intelligence Organisation (ASIO), γ) Australian Federal 

Police (AFP), δ) Department of the Prime Minister and Cabinet (PMκαιC), ε) Australian Government 

Information Management Office (AGIMO), στ) Attorney-General’s Department’s (AGD), 

ζ) Department of Communications, Information Technology and the Arts (DCITA), η) Department 

Of Transport And Regional Services (DOTARS) και θ) Department of Foreign Affairs and Trade 

(DFAT). 

Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα (PPP) 

Business-Government Partnership (Public-Private Partnership / PPP) 

Το 2002 το Business-Government Task Force πρότεινε την ίδρυση του Trusted Information Sharing 

Network (TISN) για CIP. Αποτέλεσε σημαντικό βήμα προς την κατεύθυνση της ενσωμάτωσης του 

ιδιωτικού τομέα στο στρατηγικό σχεδιασμό για CIP. 

Αναλυτική περιγραφή του Trusted Information Sharing Network (TISN) 

Το TISN 30 τέθηκε σε λειτουργία το 2003. Πρόκειται για ένα forum όπου οι ιδιοκτήτες και οι διαχειριστές 

των κρίσιμων υποδομών μπορούν να συνεργαστούν ανταλλάσοντας πληροφορίες σχετικά με θέματα 

ασφάλειας που έχουν επίδραση στις κρίσιμες υποδομές. Αποτελείται από εννέα (9) Infrastructure 

Assurance Advisory Groups (IAAGs) για αντίστοιχους επιχειρησιακούς τομείς και εποπτεύεται 

από το Critical Infrastructure Advisory Council (CIAC). Περιλαμβάνει τρία (3) Expert Advisory 

Groups. Το Σχήμα 77 απεικονίζει τις δομές της Αυστραλίας που αφορούν CIP: 

Critical Infrastructure Advisory Council (CIAC) 

Ασχολείται με μεσομακροπρόθεσμα θέματα σχετικά με προληπτικές δράσεις CIP, και ειδικά με εκείνα 

τα θέματα που έχουν επιπτώσεις μεταξύ τομέων. Δεν εμπλέκεται σε διευθετήσεις σχετικά με την 

απόκριση σε περιστατικά ασφάλειας. Αποτελεί την οδό για τον προσδιορισμό των απαιτήσεων σχετικά 

με CI RκαιD. 

Σημαντικά Advisory Groups του ΤΙSN 

Communications Sector Infrastructure Assurance Advisory Group (CSIAAG) 

Αποτελεί μία από τις εννέα τομεακές ομάδες (sector groups) του TISN. Αποτελείται από αντιπροσώπους 

από τις τηλεπικοινωνίες, τις μεταδόσεις (broadcast), τον τομέα των ταχυδρομικών υπηρεσιών 

και τον τομέα «international submarine cable». 

Ανταλλάσσει πληροφορίες σχετικά με την προστασία των βασικών επικοινωνιακών δικτύων και των 

αντίστοιχων διευκολύνσεων. Έχει αναπτυχθεί πλαίσιο διαχείρισης κινδύνων, σε επίπεδο τομέων, το 

οποίο και ελέγχεται. 

30 http://www.tisn.gov.au/. 



65



Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP 

Information Security Expert Advisory Group (ITSEAG) 

Αποτελεί ένα από τα τρία (3) Expert Advisory Groups που παρέχουν συμβουλευτική υποστήριξη στο 

TISN και στο CIAC. Αποτελείται από ειδικούς σε θέματα ασφάλειας ΙΤ (IT security experts), από τη 

βιομηχανία, την κυβέρνηση και την ακαδημαϊκή κοινότητα. Συμβουλεύει τις τομεακές ομάδες (sector 

groups) του TISΝ σε θέματα ασφάλειας ΙΤ που επηρεάζουν την ασφάλεια των CI της Αυστραλίας. 

Τον Αύγουστο του 2004, ιδρύθηκε το SCADA (Supervisory Control and Data Acquisition) Community 

of Interest (CoI), που αποτελείται από επαγγελματίες SCADA που προέρχονται από τους τομείς CI. 

Επίσης, η συγκεκριμένη κοινότητα οργανώνει ημερίδες για τη βελτίωση της επαγρύπνησης σε θέματα 

ασφάλειας στον τομέα SCADA. 

Άλλες Δημόσιες Υπηρεσίες που ασχολούνται με θέματα CICIP 

Department of Communications, Information Technology και the Arts (DCITA) 

Συμμετέχει στις CIP δραστηριότητες της Αυστραλιανής κυβέρνησης μέσω του TISΝ, ενώ προεδρεύει 

και παρέχει γραμματειακή υποστήριξη στο ITSEAG και στο CSIAAG. 

Australian Government Information Management Office (AGIMO) 31 

Εδρεύει στο Department of Finance και Administration και παρέχει στρατηγική πληροφόρηση, συμμετοχή 

σε δραστηριότητες και αντιπροσώπευση σχετικά με την εφαρμογή των ΤΠΕ στη δημόσια διοίκηση. 

Διαχειρίζεται το domain gov.au. 

31 http://www.agimo.gov.au. 



66



Defense Signals Directorate (DSD) 

Αποτελεί την Εθνική Αρχή της Αυστραλίας σε θέματα ασφάλειας πληροφοριών και ανάλυσης σημάτων 

(information security and signals intelligence). Χειρίζεται το Information Security Group (INFO- 

SEC). 

Australian Security Intelligence Organisation (ASIO) 

Αποτελεί την Εθνική Υπηρεσία Ασφάλειας της χώρας. Ανέπτυξε την «Australian Security Intelligence 

Organisation Act (1979) (ASIO Act)». 

Australian Federal Police (AFP) 

Ανέπτυξε την «Cybercrime Act» (2001). Της ανήκει το Australian High Tech Crime Centre (AHT - 

CC) 32 . 

Attorney-General’s Department (AGD) 

Χειρίζεται το GovCERT.au 33 . 


Οι κυριότεροι μηχανισμοί που έχουν αναπτυχθεί για την προειδοποίηση και την προσέγγιση και 

ενημέρωση του κοινού, είναι οι ακόλουθοι: 

Information Security Incident Detection Reporting and Analysis Scheme (ISIDRAS) 

Η διαχείρισή του γίνεται από το DSD και η κύρια λειτουργία του είναι η συλλογή πληροφορίας για 

περιστατικά ασφάλειας που επηρεάζουν την ασφάλεια ή τη λειτουργία των συστημάτων πληροφοριών 

και επικοινωνιών της Αυστραλιανής Κυβέρνησης. Παρέχει αναφορές (reports) σε τακτική βάση. 

OnSecure Website 

Αποτελεί κοινή πρωτοβουλία του DSD και του AGIMO. Mέσω αυτού οι κυβερνητικές υπηρεσίες 

μπορούν να αναφέρουν πληροφορίες σχετικά με περιστατικά ασφάλειας on-line. Δρα συμπληρωματικά 

προς το ISIDRAS και επιτρέπει τη δημόσια πρόσβαση σε επιλεγμένες πληροφορίες. 

Australian Computer Emergency Response Team (AusCERT) 34 

Αποτελεί μη κερδοσκοπικό οργανισμό που τον διαχειρίζεται το University of Queensland. Παρέχει 

σημαντικές πληροφορίες ασφάλειας στον ιδιωτικό τομέα και σε μερικές κυβερνητικές υπηρεσίες με 

τη μορφή fee-for-service. To Mάιο του 2003 δημιουργήθηκε το National Information Technology 

Alert Service (NITAS) που παρέχει δωρεάν υπηρεσία σε συνδρομητές, που είναι κυρίως ιδιοκτήτες 

και διαχειριστές ΝΙΙ. 

Τέλος, με σκοπό τη θέση σε ετοιμότητα των οικιακών χρηστών και των μικρομεσαίων επιχειρήσεων, 

δημιουργήθηκε το STAYSMARTONLINE 35 από το DCITA. 


Οι κυριότεροι νόμοι είναι οι ακόλουθοι: 

• Electronic Transactions Act 1999. 

• Cybercrime Act 2001. 

• Security Legislation Amendment (Terrorism) Act 2002. 

32 http://www.ahtcc.gov.au/. 

33 http://www.ag.gov.au/govcert. 

34 http://national.auscert.org.au/. 

35 www.staysmartonline.gov.au. 



67



• Spam Act 2003. 

3.3.3.3 Νέα Ζηλανδία 


Στη Νέα Ζηλανδία υπάρχουν ξεκάθαροι ορισμοί για το τί σημαίνει CIP, ενώ οι των σχετικών προσπαθειών 

ηγούνται οι δομές άμυνας. Οι προσεγγίσεις CICIP ενσωματώνονται στις συνολικές αντιτρομοκρατικές 

προσπάθειες, όπου η κοινότητα της ανάλυσης πληροφοριών παίζει σημαντικό ρόλο. 

Η προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας δεν είναι εύκολα διαχωρίσιμη από τα μετρα 

και τις πρωτοβουλίες που αναπτύσσονται στην Αυστραλία, δεδομένου ότι υπάρχει πολύ στενή 

συνεργασία μεταξύ των δύο κρατών. 


Τον Ιούνιο του 2000 αναπτύχθηκε το «Defense Policy Framework». Το συγκεκριμένο πλαίσιο προδιαγράφει 

το CICIP ως στόχο-κλειδί για την καθολική πολιτική ασφάλειας της χώρας. Το Centre for 

Critical Infrastructure Protection (CCIP) ασχολείται με τα θέματα του στόχου αυτού που σχετίζονται 

με τις κυβερνοαπειλές. 

Στις 8 Δεκεμβρίου του 2000 εκδόθηκε από το New Zealand’s State Services Commission’s e-Government 

Unit η αναφορά με τίτλο «Protecting New Zealand’s Infrastructure from Cyber-Threats». 

Ασχολήθηκε με την προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας από το κυβερνοέγκλημα 

και άλλες απειλες ΙΤ. Παρείχε υποδείξεις σχετικά με: 

• Την ίδρυση ενός οργανισμού, στη Νέα Ζηλανδία, για την αντιμετώπιση περιστατικών και την παρακολούθηση 

της ασφάλειας. 

• Την εναρμόνιση της νομοθεσίας της Νέας Ζηλανδίας, σχετικά με τα εγκλήματα υπολογιστών, με 

αυτής άλλων χωρών (π.χ. Αυστραλία, ΗΠΑ, Βρετανία και Καναδά). 

• Την καθιέρωση ενός προγράμματος διαρκούς συνεργασίας μεταξύ των ιδιοκτητών κρίσιμων υποδομών 

και της κυβέρνησης. 

• Την υιοθέτηση συγκεκριμένων προτύπων ΙΤ ασφάλειας. 

Τον Ιούνιο του 2001 εκδόθηκε από το e-Government Unit το «June 2001 – “Towards a Centre for 

Critical Infrastructure Protection (CCIP)». Πρότεινε την ίδρυση ενός «Κέντρου για την προστασία 

των κρίσιμων υποδομών». Τελικά, η συγκεκριμένη αρμοδιότητα εκχωρήθηκε στο Government Communications 

Security Bureau, λόγω της κουλτούρας του σε θέματα ασφάλειας, της σημαντικής τεχνογνωσίας 

του σε θέματα ασφάλειας IT και του γεγονότος ότι η συγκεκριμένη λύση κρίθηκε πιο επωφελής. 

Το 2002 εκδόθηκε το «Manual on Security in the Government Sector», από την «Interdepartmental 

Committee on Security». Έλαβε υπόψη το πρότυπο «AS/NZS ISO/IEC 17799:2001“Information 

Technology - Code of Practice for Information Security Management», που εκδόθηκε, από κοινού, α- 

πό Αυστραλία και Νέα Ζηλανδία. 

Περιείχε κατευθυντήριες γραμμές για την ασφάλεια, υποχρεωτικές για: α) Government departments, 

β) Ministerial Offices, γ) New Zealand Police, δ) New Zealand Defense Force, ε) New Zealand 

Security Intelligence Service και στ) Government Communications Security Bureau (GCSB). 

Πρότεινε, η συνολική ευθύνη για την ασφάλεια να ανήκει σε έναν Manager, τον Departmental Security 

Officer (DSO), με καθήκοντα: 

• Τη διατύπωση και την υλοποίηση της γενικής πολιτικής ασφάλειας. 

• Να αποτελεί το σύνδεσμο, για την παροχή ειδικών συμβουλών, με την Interdepartmental Committee 

on Security (ICS), την New Zealand Security Intelligence Service (NZSIS) και το GCSB. 



68



Λίγο αργότερα αναπτύχθηκε ο δικτυακός τόπος «Security Policy and Guidance Website» 36 , που παρέχει 

πληροφόρηση σχετικά με τις δραστηριότητες της κυβέρνησης στον τομέα της ασφάλειας πληροφοριών 

και λειτουργεί ως σημείο εστίασης για τη δημοσίευση κυβερνητικής πληροφόρησης σχετικά 

με τα πρότυπα ασφάλειας, τις διαδικασίες και τους πόρους. 

Επίσης, αναπτύχθηκε το «Standards New Zealand (SNZ)» που προωθεί διάφορα συγκεκριμένα πρότυπα 

για τη νέα Ζηλανδία, ενώ φιλοξενεί, διεθνή πρότυπα που αναπτύσσονται από κοινού μεταξύ 

Αυστραλίας και Νέας Ζηλανδίας. Ειδικότερα, το πρότυπο «AS/NZS ISO/IEC 17799 Information Security 

Management» παρέχει μια επισκόπηση των παραγόντων που πρέπει να λαμβάνονται υπόψη 

και να συμπεριλαμβάνονται στην προστασία της πληροφορίας και των πληροφοριακών συστημάτων. 

Τέλος, υπάρχει και το «National Information Infrastructure Protection 37 . 


Οι κυριότερες οργανωτικές δομές της Νέας Ζηλανδίας, σχετικά με CICIP, είναι οι ακόλουθες: 

Τhe Domestic and External Secretariat (DESS) 

Αποτελεί τον κύριο πρωταγωνιστή, υπεύθυνο για τη διατύπωση της πολιτικής ασφάλειας της Νέας 

Ζηλανδίας, συμπεριλαμβανομένων των θεμάτων CICIP. Συντονίζει τις κεντρικές κυβερνητικές δραστηριότητες 

που έχουν ως στόχο την προστασία της εσωτερικής και εξωτερικής ασφάλειας της Νέας 

Ζηλανδίας, περιλαμβανομένων των: α) ανάλυση πληροφοριών (Intelligence), β) ετοιμότητα για την 

αντιμετώπιση της τρομοκρατίας (Counter-terrorism), γ) διαχείριση έκτακτων περιστατικών και κρίσεων 

(Emergency και crisis management), και δ) αμυντικές λειτουργίες (Defense operations). 

O Διευθυντής του DESS παρέχει έγκαιρη συμβουλευτική υποστήριξη στον Πρωθυπουργό σε θέματα 

που επηρεάζουν την ασφάλεια της Νέας Ζηλανδίας, συμπεριλαμβανομένων αυτών που αφορούν πολιτική, 

νομοθεσία, λειτουργίες και προϋπολογισμό. Το DESS προσφέρει γραμματειακή υποστήριξη 

στο Officials Committee for Domestic and External Security Co-ordination (ODESC). 

Officials Committee for Domestic and External Security Co-ordination (ODESC) 

Σε αυτό προεδρεύει ο Πρωθυπουργός. Λαμβάνει αποφάσεις πολιτικής, σε υψηλό επίπεδο, σχετικά με 

θέματα ασφάλειας και ανάλυσης πληροφοριών (intelligence), περιλαμβανομένης της πολιτικής υψηλής 

εποπτείας σε περιοχές όπως: α) Intelligence and security, β) Terrorism maritime security και γ) 

Emergency preparedness. 

Περιλαμβάνει chief executives από τους οργανισμούς: Ministry of Foreign Affairs and Trade, Ministry 

of Defense and the Defense Force, New Zealand Security Intelligence Service, Government Communications 

Security Bureau, Police, Ministry of Civil Defense and Emergency Management, Treasury. 

Interdepartmental Committee on Security (ICS) 

Αποτελεί υπο-επιτροπή του ODESC η οποία διατυπώνει και συντονίζει την εφαρμογή όλων των 

πλευρών της πολιτικής ασφάλειας. Θέτει κοινά ελάχιστα πρότυπα σχετικά με την ασφάλεια και την 

προστασία. Επίσης, παρέχει λεπτομερή συμβουλευτική υποστήριξη σε θέματα ασφάλειας πληροφοριών 

στην κυβέρνηση και σε άλλους οργανισμούς ή όργανα που λαμβάνουν ή τηρούν διαβαθμισμένη 

πληροφορία (classified information). 

Center for Critical Infrastructure Protection (CCIP) 38 

Ιδρύθηκε το 2001 και αποτελεί τον κεντρικό οργανισμό που ασχολείται με θέματα CICIP. Παρέχει 

συμβουλευτική υποστήριξη σε ιδιοκτήτες CI, του δημόσιου και του ιδιωτικού τομέα, με σκοπό την 

προστασία της Νέας Ζηλανδίας από τις κυβερνοαπειλές. Εδρεύει στο Government Communications 

36 http://www.security.govt.nz. 

37 http://www.egovt.nz/archive/services/safe. 

38 http://www.ccip.govt.nz. 



69



Security Bureau και έχει τρία (3) κύρια καθήκοντα: α) Την παροχή συνεχούς και αδιάλειπτης επαγρύπνησης 

και συμβουλευτικών υπηρεσιών σε ιδιοκτήτες κρίσιμων υποδομών και σε κυβερνητικά 

τμήματα, β) Την ανάλυση και διεξαγωγή έρευνας σχετικά με κυβερνοεπιθέσεις και γ) τη συνεργασία 

με εθνικούς και διεθνείς οργανισμούς κρίσιμων υποδομών για τη βελτίωση της ετοιμότητας και της 

επικοινωνίας σχετικά με την ασφάλεια ΙΤ. 

Government Communications Security Bureau (GCSB) 

Αποτελεί πολιτικό οργανισμό, ουσιαστικά την «signals intelligence agency», που λειτουργεί από το 

1977. Αναφέρει απευθείας στον Πρωθυπουργό και χειρίζεται τα θέματα CCIP. Παρέχει συμβουλευτική 

υποστήριξη και βοήθεια σε κυβερνητικά τμήματα και υπηρεσίες της Νέας Ζηλανδίας σχετικά με 

την ασφάλεια σε συστήματα επεξεργασίας πληροφοριών. Διασφαλίζει την ακεραιότητα, τη διαθεσιμότητα 

και την εμπιστευτικότητα των επίσημων πληροφοριών (official information), μέσα από την 

παροχή υπηρεσιών Ασφάλειας Πληροφοριακών Συστημάτων (INFOSEC) σε τμήματα και υπηρεσίες 

της κυβέρνησης της Νέας Ζηλανδίας. 

Συνεισφέρει στην προστασία των κρίσιμων υποδομών από απειλές ΙΤ και παράγει τις δημοσιεύσεις 

«New Zealand Security of Information Technology (NZSIT)». Ουσιαστικά πρόκειται για κατευθυντήριες 

γραμμές για τους κυβερνητικούς οργανισμούς της Νέας Ζηλανδίας με σκοπό την παροχή υποστήριξης 

στην ασφάλεια και την προστασία των συστημάτων ΙΤ, και των συσχετιζόμενων πληροφοριών 

και υπηρεσιών. 

E-Government Unit 

Ιδρύθηκε τον Ιούλιο του 2000, μέσα στο State Services Commission. Έργα που υλοποιούνται υπό την 

αιγίδα του είναι τα: α) «Secure Electronic Environment (S.E.E.), for protecting sensitive information 

among agencies» και β) Η μελέτη «Protecting New Zeeland's Infrastructure from Cyber-Threats». 

Συμπράξεις Ιδιωτικού - Δημόσιου Τομέα (PPP) 

New Zealand Security Association (NZSA) 

Ιδρύθηκε το 1972 και αντιπροσωπεύει πιστοποιημένα άτομα που παρέχουν υπηρεσίες σε τμήματα 

της κυβέρνησης, κρατικές υπηρεσίες, επιχειρήσεις και ιδιωτικούς χρήστες. Έχει δύο μέλη-ομάδες: 

• Corporate members: Μεμονωμένα άτομα ή εταιρείες που δραστηριοποιούνται στην ασφάλεια. 

• Associate members: Μεμονωμένα άτομα ή εταιρείες που ασχολούνται ή ενδιαφέρονται για την α- 

σφάλεια, χωρίς να προσφέρουν υπηρεσίες στο κοινό, όπως κυβερνητικοί οργανισμοί, ασφαλιστικές 

εταιρείες, αεροπορικές εταιρείες, τράπεζες, διανομείς τροφίμων, πετρελαϊκές εταιρείες κλπ. 

Κύριοι στόχοι του είναι: 

• Καθορισμός ελάχιστων προτύπων λειτουργίας. 

• Ανάπτυξη και έγκριση κωδικών πρακτικής (codes of practice). 

• Η συνεργασία με την αστυνομία, τα κυβερνητικά τμήματα, και άλλους οργανισμούς και υπηρεσίες 

που σχετίζονται με την προστασία ανθρώπων, περιουσίας και πληροφοριών στη Νέα Ζηλανδία. 

• Παροχή πληροφόρησης και συμβουλευτικών υπηρεσιών, εκπαίδευσης και κατάρτισης. 


Διασυνοριακή συνεργασία μεταξύ Αυστραλίας και Νέας Ζηλανδίας 

AusCERT 

Αποτελεί την εθνική CERT της Αυστραλίας που παρέχει σημαντική υποστήριξη σε οργανισμούς της 

Νέας Ζηλανδίας. Αποτελεί μια από τις ηγετικές CERT στην Ασία και τον Ειρηνικό Ωκεανό. Παρέχει 

στα μέλη του στρατηγικές για την απόκριση, και τον περιορισμό των απωλειών. 



70



CCIP 

Έχει ενεργή σχέση με το AusCERT και παρέχει υπηρεσία έγκαιρης ενημέρωσης (early-warning) καθώς 

και μια καθοδηγούμενη λίστα ηλεκτρονικού ταχυδρομείου (moderated mailing list) διαμέσου 

του διακτυακού του τόπου. 

Τέλος, διάφοροι άλλοι εμπορικοί οργανισμοί, όπως η εταιρεία της Νέας Ζηλανδίας με την επωνυμία 

Co-logic, παρέχουν πληροφόρηση σχετικά με ευπάθειες (vulnerability alerts), φιλτραρισμένη και 

προσαρμοσμένη στις ανάγκες των πελατών τους. 


Ο κυριότερος νόμος σχετικά με θέματα CICIP είναι ο «Crimes Amendment Act 2003», που αφορά εγκλήματα 

που διαπράττονται με τη χρήση ηλεκτρονικών υπολογιστών. 

3.3.3.4 Καναδάς 


Σύμφωνα με τα [Abe-06, BSI-o4a, Wen-02], τόσο οι ορισμοί των κρίσιμων τομέων όσο και η ερμηνεία 

σχετικά με το CIP είναι σαφείς. Η προσέγγιση που ακολουθείται είναι τύπου «All Hazards», καθώς 

η προστασία των ΤΠΕ ενσωματώνεται στην έννοια «Total Defense». 

H ανάμειξη του ιδιωτικού τομέα δεν είναι ιδιαίτερα μεγάλη, αν και οι περισσότερες από τις υποδομές 

του Καναδά ανήκουν σε ιδιωτικούς φορείς. Έχει αναπτύξει μόνιμο κέντρο ανάλυσης πληροφοριών 

(Government Operations Center-GOC), ώστε οι στρατηγικές πληροφορίες να είναι διαθέσιμες στους 

decision makers του ιδιωτικού και του δημόσιου τομέα, με αποτελεσματικό τρόπο. 


Στον Καναδά, το Public Safety και Emergency Preparedness Canada (PSEPC) (περιγράφεται αναλυτικά 

παρακάτω) αναπτύσσει τις πρωτοβουλίες και τις πολιτικές για την προστασία των CΙs, ενώ προωθεί 

την εθνική συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα. Οι Καναδικές δραστηριότητες 

στον τομέα cyber-protection εστιάζονται σε «Awareness and resilience of IT systems and services». 

Τον Απρίλιο του 2004 αναπτύχθηκε η «Canada’s National Security Policy 2004». Στο πλαίσιο αυτά 

δόθηκε η έκθεση «Securing An Open Society: Canada’s National Security Policy», που προέβλεπε: 

• Ένα στρατηγικό πλαίσιο και πλάνο δράσης σχεδιασμένο για να διασφαλίζεται ότι η κυβέρνηση 

του Καναδά μπορεί να προετοιμαστεί κατάλληλα και να ανταποκριθεί αποτελεσματικά και παρούσες 

και μελλοντικές απειλές. 

• Την ανάγκη για ένα ολοκληρωμένο εθνικό σύστημα αντιμετώπισης επειγόντων περιστατικών. 

• Το προτεινόμενο πρόγραμμα δράσης (Blueprint) περιελάμβανε έξι (6) περιοχές: Intelligence, 

Emergency management, Public health, Transportation, Border security, International security. 

Το Νοέμβριο του 2004, στο πλαίσιο του «National Critical Infrastructure Protection Strategy» εκδόθηκε 

το «Position Paper on a National Strategy for Critical Infrastructure Protection». 

Την άνοιξη του 2005 διενεργήθηκε μια εθνική διαβούλευση μεταξύ του PSEPC και άλλων επιπέδων 

της κυβέρνησης και των ιδιοκτητών και των διαχειριστών των εθνικών υποδομών. Το αποτέλεσμα ή- 

ταν η «National Critical Infrastructure Protection Strategy», που προδιέγραψε τις περιοχές προτεραιότητας 

για το CIP καθώς και ένα πλάνο υλοποίησης, που ακολούθησε την έκδοση της στρατηγικής. 

Στο πλαίσιο του «Mitigation and Response Review», αναπτύχθηκαν δύο πρωτοβουλίες για ένα ομοιογενές 

σύστημα διαχείρισης εκτάκτων περιστατικών: 

• «National Disaster Mitigation Strategy (NDMS)»: Αποσκοπούσε στην αποτροπή και τη μείωση 

των κινδύνων, των επιπτώσεων και των οικονομικών απωλειών από εθνικές καταστροφές. 



71



• «National Emergency Response System (NERS)»: Αποτελεί το μηχανισμό βάσει του οποίου η 

κυβέρνηση μπορεί να ανταποκριθεί και να διαχειριστεί τις αρχικές επιπτώσεις από μια επείγουσα 

κατάσταση. 

Το 2005 αναπτύχθηκε η «Government-on-Line (GoL) policy» που αποτέλεσε ένα πλάνο για την υλοποίηση 

ενός τεχνολογικού και πολιτικού πλαισίου που προστατεύει την ασφάλεια και την ιδιωτικότητα 

των Καναδών πολιτών στις ηλεκτρονικές τους συναλλαγές με την κυβέρνηση. 

Το Joint Infrastructure Interdependencies Research Program (JIIPR) αποτελεί μια συνεργασία μεταξύ 

του PSEPC και του Natural Sciences and Engineering Research Canada. Χρηματοδοτεί ακαδημαϊκά 

ερευνητικά έργα για τη μελέτη των αλληλοεξαρτήσεων των μεγαλύτερων συστημάτων υποδομών 

του Καναδά. 

Η «Information Technology Systems Research and Development Initiative» δημιούργησε μια κοινή 

Ομάδα Εργασίαςς για τη συνεργασία σε ερευνητικά έργα πληροφοριακών υποδομών καθώς και για 

την ανάπτυξη μιας, από κοινού, μακροπρόθεσμης ερευνητικής ατζέντας. Οι εμπλεκόμενες 

κυβερνητικές υπηρεσίες, μεταξύ άλλων είναι: PSEPC, Defence Research and Development Canada, 

Communications Security Establishment, Industry Canada’s Communications Research Centre. 


Οι κυριότερες οργανωτικές δομές σχετικά με CICIP που έχουν αναπτυχθεί στον Καναδά, είναι οι α- 

κόλουθες: 

Public Safety and Emergency Preparedness Canada (PSEPC) 39 

Δημιουργήθηκε στις 12 Δεκεμβρίου 2003 και αποτελεί ηγετικό χαρτοφυλάκιο που ασχολείται με θέματα 

CIP/CICIP. Ενσωματώνει το Department of the Solicitor General, National Crime Prevention 

Centre και το Office of Critical Infrastructure Protection and Emergency Management. Επίσης, περιλαμβάνει 

το Royal Canadian Mounted Police (RCMP), την Canadian Security Intelligence Service 

(CSIS), την Correctional Service of Canada, το National Parole Board, το Canada Firearms Centre, 

την Canada Border Services Agency, καθώς και τρία (3) review bodies. 

Παρέχει καθοδηγεί τη χάραξη πολιτικής και παραδίδει προγράμματα και υπηρεσίες στην περιοχή της 

εθνικής ασφάλειας, της διαχείρισης επειγόντων περιστατικών, της ανάπτυξης πολιτικής, της ασφάλειας 

συνόρων και της πρόληψης εγκλημάτων. Διασφαλίζει τη συνοχή της πολιτικής των έξι (6) υπηρεσιών 

που αναφέρουν απευθείας στον Υπουργό. Αποτελεί το σημείο αναφοράς για το συντονισμό, την 

ανάλυση και την ανταλλαγή πληροφοριών που σχετίζονται με φυσικούς και ιδεατούς κινδύνους, εναντια 

στις Καναδικές κρίσιμες υποδομές. 

Το PSEPC λαμβάνει «Information Bulletins» από το Joint Department of Homeland Security/Federal 

Bureau of Investigation, για μια ποικιλία από κινδύνους και θέματα ασφάλειας. Μόλις λάβει την 

πληροφόρηση, το Government Operations Center (GOC) του PSEPC εκτιμά το μέγεθος της απειλής 

για τον Καναδά και διανέμει περαιτέρω το δελτίο ειδήσεων (bulletin) και την εκτίμηση στους ιδιοκτήτες 

και διαχειριστές των κρίσιμων υποδομών, καθώς και στα σημεία επαφής του Καναδά που διαχειρίζονται 

επείγοντα περιστατικά. 

Integrated Threat Assessment Centre (ITAC) 

Δημιουργήθηκε για να διευκολύνει την ενσωμάτωση πληροφόρησης από διάφορες πηγές σε περιεκτικές 

εκτιμήσεις απειλών. Περιλαμβάνει διάφορα ομοσπονδιακά τμήματα της κυβέρνησης, όπως: PSE- 

PC, Canadian Security Intelligence Service, Department of National Defense, Canada Border Services 

Agency, Foreign Affairs Canada, Transport Canada, Royal Canadian Mounted Police, Communications 

Security Establishment, Ontario Provincial Police, και Privy Council Office. 

Εστιάζει στην εκτίμηση κινδύνων σχετικά με τοπικά και διεθνή γεγονότα και τάσεις που σχετίζονται 

με τρομοκρατικές ενέργειες. Οι εκτιμήσεις του ITAC διανέμονται: α) Στην ομοσπονδιακή κυβέρνηση 

39 http://www.ps-sp.gc.ca. 



72



και σε άλλους εταίρους από άλλες χώρες, διαμέσου του κέντρου, β) Σε υπηρεσίες επιβολής του νόμου, 

διαμέσου της Royal Canadian Mounted Police και γ) Στον ιδιωτικό τομέα, στην επαρχία και 

στην επικράτεια, διαμέσου του PSEPC. 

Federal Provincial High-Level Forum on Emergencies 

Αποτελεί μόνιμο δημόσιο τόπο συζήτησης σε υψηλό επίπεδο, για θέματα διαχείρισης επειγόντων περιστατικών, 

μεταξύ των κύριων εθνικών παικτών. 

Cross-Cultural Roundtable on Security 

Αποτελεί βασικό στοιχείο της Εθνικής Πολιτικής Ασφάλειας (National Security Policy). 

Δημιουργήθηκε για να εμπλέξει τους Καναδούς και την Καναδική κυβέρνηση σε ένα μακροπρόθεσμο 

διάλογο σε θέματα που σχετίζονται με την εθνική ασφάλεια, καθώς επηρεάζουν μια ποικιλότροπη 

και πλουραλιστική κοινωνία. Συνεργάζεται με τον Υπουργό του PSEPC και τον Υπουργό Δικαιοσύνης. 


Ο Καναδικός ιδιωτικός τομέας λειτουργεί και διαχειρίζεται σχεδόν το ογδόντα πέντε (85) τοις εκατό 

των υποδομών της χώρας και διαδραματίζει πρωτεύοντα ρόλο στην ασφάλεια του κυβερνοχώρου. 

Εθνικοί τομεακοί οργανισμοί έχουν ενεργό ρόλο στην προώθηση βελτιωμένων προσπαθειών σχετικά 

με CIP, όπως: Canadian Electricity Association (CEA), Canadian Bankers Association (CBA), Canadian 

Telecommunications Emergency Preparedness Association (CTEPA). 

National Critical Infrastructure Assurance Program (NCIAP) 

Αποτελεί ένα πλαίσιο συνεργατικής δράσης που προωθεί την ανάπτυξη ανθεκτικών και βιώσιμων 

εθνικών κρίσιμων υποδομών διαμέσου συνεργασιών μεταξύ της κυβέρνησης και του ιδιωτικού τομέα. 

Αναπτύσσει μέσα για την καλύτερη εκτίμηση των κινδύνων, των ευπαθειών, των απειλών και των 

αλληλεξαρτήσεων που μπορούν να επηρεάσουν την επιχειρησιακή συνέχεια των NCI. 


Canadian Cyber Incident Response Centre (CCIRC) 

Ανήκει στο PSEPC και αποτελεί το εθνικό σημείο αναφοράς για το συντονισμό της απόκρισης σε περιστατικά 

κυβερνοασφάλειας καθώς και για την παρακολούθηση του περιβάλλοντος των κυβερνοαπειλών, 

στο μοντέλο αδιάλειπτης λειτουργίας (24x7x365). Κατέχει ηγετική θέση σε θέματα εθνικής 

και διεθνούς κυβερνοετοιμότητας και απόκρισης. Οι υπηρεσίες που παρέχει σε κρίσιμους τομείς υποδομών, 

σχετίζονται με: α) Την απόκριση σε περιστατικά, συντονισμός και υποστήριξη (Incident response, 

coordination and support), β) Την παρακολούθηση και ανάλυση του περιβάλλοντος των κυβερνοαπειλών 

(Monitoring and analysis of the cyber-threat environment), γ) την παροχή τεχνικής 

υποστήριξης σε θέματα ασφάλειας ΙΤ (IT security-related technical advice) και δ) την εθνική ενημερωση 

(national awareness) και εκπαίδευση (εξάσκηση, πρότυπα, βέλτιστες πρακτικές). 

Government Operations Centre (GOC) 

Ανήκει και αυτό στο PSEPC και παρέχει στρατηγικού επιπέδου συντονισμό και καθοδήγηση, για λογαριασμό 

της κυβέρνησης του Καναδά, ανταποκρινόμενο σε ένα αναδυόμενο συμβάν που έχει επίδραση 

στα εθνικά συμφέροντα. 


Οι κυριότεροι νόμοι που σχετίζονται με θέματα CIP είναι: 

• Canadian Criminal Code Sections. 

• The Emergencies Act 1988. 



73



• The Emergency Preparedness Act 1988. 

• C-78 - Emergency Management Act 2005. 

• The Department of Public Safety and Emergency Preparedness Act 2005. 

3.3.4 Άλλες Χώρες 

Στο [Αβε-06] αναφέρονται και άλλες χώρες όπως: 

• Ευρώπη: Αυστρία, Φινλανδία, Γαλλία, Ιταλία, Νορβηγία, Ρωσία. 

• Χώρες εκτός Ευρώπης: Ινδία, Ιαπωνία, Κορέα, Μαλαισία, Σιγκαπούρη. 

Τα οργανωτικά σχήματα των χωρών αυτών δεν παρουσιάζονται εδώ, γιατί κρίθηκε ότι δεν είναι ιδιαίτερα 

ώριμα, συγκριτικά με τα οργανωτικά σχήματα των χωρών που παρουσιάζονται στο παρόν. 

3.3.5 Διεθνείς Οργανισμοί 

Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθούνται 

από Διεθνείς Οργανισμούς. 

3.3.5.1 Ευρωπαϊκή Ένωση 

Γενικά 

Σύμφωνα με τα [Αβε-06, ΒΣΙ-04a,, EC-04, EC-05, EC-06a, EC-06b], η Ευρωπαϊκή Ένωση (ΕΕ) απότελεί 

παίκτη-κλειδί, σε διεθνές επίπεδο, αναφορικά με τη διασφάλιση πληροφοριών. Θέματα σχετικά 

με CICIP, την Κοινωνία της Πληροφορίας, και την Ασφάλεια Πληροφοριών θεωρούνται πολύ σημαντικά. 

Η προστασία των επικοινωνιακών και πληροφοριακών υποδομών αποτελεί προτεραιότητα, δεδομένης 

της οριζόντιας φύσης της και των διασυνδέσεων με άλλες κρίσιμες υποδομές. 

Η ΕΕ έχει ξεκινήσει πρωτοβουλίες και ερευνητικά προγράμματα για να εξετάσει διάφορες οπτικές 

σχετικά με την εξέλιξη της πληροφορίας και την επίδρασή της στην εκπαίδευση, στις επιχειρήσεις, 

την υγεία και τις επικοινωνίες. Οι τρομοκρατικές επιθέσεις στη Μαδρίτη το 2004 και στο Λονδίνο το 

2005 υπογράμμισαν τους κινδύνους που εγκυμονούν οι τρομοκρατικές επιθέσεις κατά των Ευρωπαϊκών 

υποδομών. 

Το Ευρωπαϊκό Πλαίσιο CIP 

Στις 17-18 Ιουνίου 2004 το Ευρωπαϊκό Συμβούλιο (European Council) ζήτησε από την Ευρωπαϊκή 

Επιτροπή (European Commission/EC) την προετοιμασία μιας καθολικής στρατηγικής για την προστασία 

των κρίσιμων υποδομών. Στις 22 Οκτωβρίου 2004 η ΕE εξέδωσε την «Communication on 

Critical Infrastructure Protection in the Fight against Terrorism» [EC-04], που: 

• Προσδιόρισε της κρίσιμες υποδομές (CI). 

• Απαρίθμησε τους κρίσιμους τομείς. 

• Προσδιόρισε κριτήρια για τον καθορισμό των CIs, από τα Κράτη-Μέλη (Κ-Μ) της ΕΕ. 

• Παρείχε προτάσεις/υποδείξεις για τη βελτίωση της ικανότητας αποτροπής, ετοιμότητας και ανταπόκρισης 

σε τρομοκρατικές επιθέσεις που αφορούν κρίσιμες υποδομές. 

Η συγκεκριμένη οδηγία πρότεινε: 

• Την εκκίνηση ενός «European Programme for Critical Infrastructure Protection (EPCIP)». 

• Τη δημιουργία ενός «Critical Infrastructure Warning Information Network (CIWIN)». 

Οι προτάσεις αυτές έγιναν δεκτές από το Ευρωπαϊκό Συμβούλιο στις 16-17 Δεκεμβρίου 2004. 

Στις 17 Νοεμβρίου 2005 εκδόθηκε το «Green Paper on the policy options for a “European Programme 

on Critical Infrastructure Protection» [EC-05]. Αυτό: 



74



• Σκιαγράφησε τις επιλογές για τη βελτίωση της αποτροπής, της ετοιμότητας και της απόκρισης με 

σκοπό την προστασία των κρίσιμων υποδομών της ΕΕ. 

• Παρείχε επιλογές σχετικά με το πώς μπορεί η Ευρωπαϊκή Επιτροπή να ανταποκριθεί στο αίτημα 

του Ευρωπαϊκού Συμβουλίου για την υλοποίηση του EPCIP και την ίδρυση ενός Critical Infrastructure 

Warning Information Network (CIWIN). 

Αποτέλεσε τη δεύτερη φάση μιας διαδικασίας διαβούλευσης που άρχισε με την «Communication on 

CIP» της Επιτροπής, που υιοθετήθηκε τον Οκτώβριο του 2004 [EC-04]. 

Το Green Paper ασχολήθηκε με θέματα όπως: α) EPCIP’s protection aim, β) Key principles, γ) The 

type of framework needed, δ) Definitions and a comprehensive list of EU Critical Infrastructures 

(ECI), ε) ECI versus National Critical Infrastructures (NCI), στ) The role of CI owners, operators, and 

users και ζ) The role of CIWIN, and the evaluation and monitoring of critical infrastructure (interdependencies). 

Υπήρξε συνεισφορά από 22 Κράτη-Μέλη (Κ-Μ) και από περισσότερες από εκατό (100) 

ιδιωτικές εταιρείες και βιομηχανικούς οργανισμούς. 

Στις 12.12.2006 υιοθετήθηκε ένα «Policy package on ECIP» που αποτελείτο από μια «Communication 

on “A European Program for Critical Infrastructure Protection (EPCIPP)» [EC-06a] 40 . Η συγκεκριμένη 

οδηγία ασχολήθηκε με: α) τη γενική πολιτική, σε σχέση με το EPCIP, β) τo CIWIN, γ) τις 

εργασίες για την ανάπτυξη του EPCIP, δ) τις αλληλεξαρτήσεις μεταξύ των τομέων, ε) το ετήσιο πλάνων 

εργασιών και στ) τη συνεχιζόμενη εργασία σχετικά με τις Εθνικές Κρίσιμες Υποδομές. Επίσης, 

έγινε πρόταση για μια «Directive on the identification and designation of European Critical Infrastructure» 

[EC-06b]. Αυτή εστίασε στην ανάδειξη της Ευρωπαϊκής διάστασης των κρίσιμων υποδομών 

(European Critical Infrastructure or «ECI»). 

Συνοπτικά, λοιπόν, το EPCIP περιλαμβάνει: 

• Οδηγία (Directive), με μέτρα για τη διευκόλυνση της υλοποίησης του EPCIP, που περιλαμβάνουν: 

α) ένα «EPCIP Action Plan», β) την υλοποίηση ενός «Critical Infrastructure Warning 

Information Network (CIWIN)» -που έχει στόχο την υποβοήθηση των Κ-Μ, των οργανισμών της 

ΕΕ και των ιδιοκτητών και λειτουργών των CIs στην ανταλλαγή πληροφοριών σχετικά με απειλές 

και ευπάθειες-, και γ) τη χρήση ομάδων ειδικών (expert groups) για τον προσδιορισμό και 

την ανάλυση των αλληλοεξαρτήσεων. 

• Παροχή υποστήριξης στα K-Μ σχετικά με τις Κρίσιμες Εθνικές Υποδομές (National Critical 

Infrastructures –NCIs). 

• Συνοδευτικά μέτρα οικονομικής φύσεως, με την υποβολή πρότασης για ένα Ευρωπαϊκό πρόγραμμα 

σχετικά με «Prevention, Preparedness and Consequence Management of Terrorism and 

other Security Related Risks» για την περίοδο 2007-2013, που παρέχει δυνατότητες χρηματοδότησης 

για μέτρα σχετικά με CIP, για τις οποίες υπάρχει δυνατότητα μεταφερσιμότητας. 

Προπαρασκευαστικές δράσεις σχετικά με CICIP 

Στην ΕΕ υπάρχει αρκετή κινητικότητα, σχετικά με θέματα CICIP, που αποτυπώνεται σε συγκεκριμενες 

ενέργειες και δραστηριότητες που έχουν ήδη ξεκινήσει στα προηγούμενα χρόνια. Στο πλαίσιο 

αυτό: 

Το 2006 εκπονήθηκε η μελέτη «Availability and Robustness of Electronic Communications Infrastructures” 

(ARECI)». Το 2007 έλαβαν χώρα οι ακόλουθες δραστηριότητες: 

• Άτυπη συνάντηση των Εθνικών εμπειρογνωμόνων σχετικά με CICIP (National experts on CIC- 

IP), στις Βρυξέλλες, στις 19 Ιανουαρίου 2007. 

• Δημόσια διαβούλευση (public consultation), τον Απρίλιο του 2007, σχετικά με το τελικό παραδοτέο 

της μελέτης ARECI, που εκπονήθηκε από την Κοινοπραξία Alcatel-Lucent. 

40 http://ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm. 



75



• Συνάντηση μεταξύ των Κ-Μ και του ιδιωτικού τομέα, σχετικά με τα αποτελέσματα της προαναφερθείσας 

δημόσιας διαβούλευσης, στις Βρυξέλλες, στις 18 Ιουνίου 2007. 

• Διοργάνωση ημερίδας, (workshop) με τίτλο «Contingency practices», στις 19 Σεπτεμβρίου 2007. 

• Διοργάνωση ημερίδας, με τίτλο «Challenges for awareness raising», στις 7 Δεκεμβρίου 2007. 

• Εκπόνηση μελέτης με τίτλο «Critical dependencies of energy, finance and transport infrastructures 

on ICT infrastructures». 

Το 2008 έλαβαν χώρα τα ακόλουθα: 

• Διοργάνωση ημερίδας με τίτλο «Learning from large scale attacks on the Internet: policy implications» 

41 , στις 17 Ιανουαρίου 2008, στις Βρυξέλλες. 

• Οργάνωση συνάντησης των Κ-Μ σχετικά με τα κριτήρια για τον προσδιορισμό των Ευρωπαϊκών 

Κρίσιμων Υποδομών στον τομέα ΤΠΕ, στις Βρυξέλλες, στις 5 Φεβρουαρίου 2008. 

Προγραμματίζονται μελέτες και έργα, χρηματοδοτούμενα από το πρόγραμμα EPCIP, με τίτλο «Prevention, 

Preparedness and Consequence Management of Terrorism and other Security Related Risks». 

Επόμενα βήματα σχετικά με EPCIP 

Ήδη, στην ΕΕ, σχεδιάζονται τα επόμενα βήματα σχετικά με το EPCIP, που περιλαμβάνουν τις ακόλουθες 

ενέργειες/δράσεις, με την ονομασία «Διάλογος και Συνεργατικότητα», που περιλαμβάνει: 

• Την πρωτοβουλία, σε επίπεδο πολιτικής, με την ονομασία «CLWP 2008» (COM(2007) 640), που 

πρόκειται να ανακοινωθεί το 2009 και έχει σαν κύριο στόχο τη βελτίωση της ετοιμότητας και της 

απόκρισης σε θέματα CICIP στην ΕΕ και τη διασφάλιση ότι υπάρχουν επαρκή και συνεπή επίπεδα 

μέτρων, αποτροπής, ανίχνευσης, ανάκαμψης και αντιμετώπισης επειγουσών καταστάσεων. 

Η προσέγγιση που θα ακολουθηθεί βασίζεται στη θεμελίωση πρωτοβουλιών σε επίπεδο εθνικό 

και ιδιωτικού τομέα, στην εμπλοκή ενδιαφερόμενων τόσο του ιδιωτικού όσο και του δημόσιου 

τομέα, την υιοθέτηση της προσέγγισης «All-hazards», και την ενδυνάμωση των συνεργιών. 

Οι προκλήσεις σχετικά με CICIP είναι τόσο οργανωσιακές, π.χ. με τη θεμελίωση σχέσεων εμπιστοσύνης 

και με την εμπλοκή ενδιαφερομένων, σε επίπεδο ΕΕ, αλλά και προσανατολισμένες στη 

χάραξη πολιτικής ώστε να υπάρχει μεγαλύτερη κατανόηση και σαφήνεια των σχετικών θεμάτων. 

Τα θέματα που εξετάζονται αφορούν: α) τη διαφορά μεταξύ Εθνικών και Ευρωπαϊκών Πληροφοριακών 

Υποδομών και τα σχετικά κριτήρια για το διαχωρισμό τους, β) τη μακροπρόθεσμη ανθεκτικότητα 

και τη σταθερότητα του Διαδικτύου, γ) την ανάπτυξη μέτρων αποτροπής, ανίχνευσης 

και έγκαιρης προειδοποίησης και απόκρισης, δ) την ανάπτυξη στρατηγικών ανάκαμψης και συνέχισης 

λειτουργίας, ε) την ανταλλαγή τεχνογνωσίας και πρακτικών, την ανάπτυξη μεθόδων διασφάλισης 

της πληροφορίας μεταξύ διαφορετικών τομέων, στ) την ανάπτυξη κουλτούρας και εργαλείων 

σχετικά με τη διαχείριση κινδύνων, και ζ) την εξέταση θεμάτων σχετικά με αλληλοεξαρτησεις, 

ειδικά μεταξύ ετερογενών υποδομών. 

• Τη χρηματοδότηση προγραμμάτων, στο πλαίσιο του EPCIP, για την εκπόνηση έρευνας και μελετών 

σε θέματα CICIP 42 . 

Έρευνα και Τεχνολογική Ανάπτυξη 

Μετά τα γεγονότα της 11.09.2001 στις ΗΠΑ, η ΕΕ αναγνώρισε την αυξημένη ανάγκη για έρευνα 

(R&D) στον τομέα της Ασφάλειας (Security Research). Στο πλαίσιο αυτά αναπτύχθηκε το «Preparatory 

Action on Security Research (PASR, 2004-2006)», με περιορισμένη χρηματοδότηση για την υλοποίηση 

μικρών έργων. Σύμφωνα με την «European Security Research Program (ESRP) agenda», υ- 

πήρξε κάλυψη όλων των πεδίων E&TA, αναφορικά με εθνική ασφάλεια και ασφάλεια σε διεθνές επίπεδο: 

CBRNE (Chemical, Biological, Radiological, Nuclear or Explosives), Ασφάλεια συνόρων 

41 http://ec.europa.eu/information_society/policy/nis/strategy/activities/CICIP/large_scale/index_en.htm. 

42 http:// ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm. 



76



(Border protection), Ασφάλεια υποδομών (Infrastructure protection), Διαχείριση έκτακτων περιστατικών 

(Emergency management). 

Τα σχετικά «calls for proposals» για τα έτη 2004-06 αφορούσαν 12-15 έργα με χρηματοδότηση 

περίπου 18 M€, ανά έργο. Λίγο αργότερα ακολούθησε το «European Security Research Programme 

(ESRP)». Στο πλαίσιο αυτά, συστάθηκε το European Security Research Advisory Board (ESRAB), 

την 01.07.2005. Αποτελεί, κατά κάποιο τρόπο, συμβουλευτικό όργανο της ΕΕ, σε οτιδήποτε αφορά 

την υλοποίηση του ESR, το οποίο γνωρίζει σε βάθος την πολιτική της ΕΕ στο συγκεκριμένο θέμα και 

υποστηρίζει δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης που σχετίζονται με τις πρωτοβουλίες 

της πολιτικής της ΕΕ σχετικά με R&D. 

Οι κυριότερες προτεραιότητες που έχουν τεθεί αφορούν: α) Τη βελτιστοποίηση της ασφάλειας και 

της προστασίας των δικτυωμένων συστημάτων, β) Την προστασία των CIs από τρομοκρατικές ενέργειες 

(συμπεριλαμβανομένων των περιστατικών που αφορούν βιολογικά και χημικά συστατικά), γ) 

Τη βελτίωση της διαχείρισης κρίσεων (συμπεριλαμβανομένων ενεργειών εκκένωσης, αναζήτησης 

και διάσωσης, ελέγχου και θεραπείας), δ) Την επίτευξη διαλειτουργικότητας και ολοκλήρωσης πληροφοριακών 

και επικοινωνιακών συστημάτων και ε) Τη βελτίωση της ενημέρωσης, ειδικά σε θέματα 

διαχείρισης κρίσεων, αντιτρομοκρατικών ενεργειών και ελέγχου συνόρων. 

Επιπρόσθετα, στο πλαίσιο των εργασιών του «2 nd European Conference on Security Research» που 

έλαβε χώρα στο Βερολίνο, στις 26 Μαρτίου 2007 ανακοινώθηκε η δημιουργία του «European Security 

Research and Innovation Forum (ESRIF)», ενός «Public-Private Dialogue in Security Research». 

Ουσιαστικά, αποτελεί ένα τόπο δημόσιας συζήτησης (forum) για την ανάπτυξη του διαλόγου μεταξύ 

Δημόσιου και Ιδιωτικού Τομέα στην περιοχή της έρευνας και της καινοτομίας, σε θέματα ασφάλειας, 

στην ΕΕ. Το ESRIF συνεισφέρει στην ανάπτυξη πιο αποτελεσματικών πολιτικών και στην παράδοση 

καλύτερης ασφάλειας στους πολίτες της ΕΕ. Το ESRIF θα παρουσιάσει μια «Joint Security Research 

Agenda», στα τέλη του 2009. 

Τέλος, πρόσφατα ανακοινώθηκε το «Research and Innovation for SEcurity, Privacy and Trustworthiness 

in the Information Society (RISEPTIS)», που αποτελεί «Advisory Board» της Ευρωπαϊκής Επιτροπής, 

υπό την αιγίδα της Επιτρόπου V. Redding και θα παρέχει κατευθυντήριες γραμμές για την 

Ευρωπαϊκή πολιτική και τη χρηματοδοτούμενη έρευνα σε ότι αφορά τα θέματα ασφάλειας, ιδιωτικότητας 

και εμπιστοσύνης στο Διαδίκτυο. 

Σχετικά με τις δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης αξίζει να αναφερθούν τα πλαίσια 

«Ιnformation Society Technologies FP6 and FP7», όπου υλοποιούνται σημαντικά έργα στον τομεα 

CICIP. Στο πλαίσιο του FP6 43 , αναφέρονται ενδεικτικά τα έργα: 

• CI 2 RCO 44 , Coordination Action on CICIP 

• IRRIIS 45 , CICIP components for electrical power και telecom sectors 

• CRUTIAL 46 , CICIP for electric power 

• GRID 47 , electrical power και ICT 

• DESEREC 48 , CICIP for telecom sector 

Αξίζει να αναφερθεί ότι, στο πλαίσιο των έργων «CI 2 RCO» και «IRRIS» εκδίδεται το «European CIP 

Newsletter» (διαμέσου των δικτυακών τους τόπων). 

Στο πλαίσιο του FP7 49 αξίζει να αναφερθεί η «Joint Call between "ICT” and “Security”» σχετικά με 

«Critical Infrastructure Protection», με καταληκτική ημερομηνία υποβολής προτάσεων το Νοέμβριο 

του 2007, με δύο κύριες προσεγγίσεις: 

43 http://cordis.europa.eu/fp6/. 

44 http://www.ci2rco.org/. 

45 http://www.irriis.org/. 

46 http://crutial.cesiricerca.it/. 

47 http://grid.jrc.it/. 

48 http://www.deserec.eu/. 



77



• Focus of the ICT Theme: «…Technology building blocks for creating secure, resilient, responsive 

and always available information infrastructures linking critical infrastructures (CI’s)…». 

• Focus of the Security Theme: «…Technology building blocks for secure, resilient and always a- 

vailable transport και energy infrastructures that survive malicious attacks or accidental failures 

and guarantee continuous provision of services…». 

Το Σχήμα 8 απεικονίζει χρονικά τις διάφορες δραστηριότητες της ΕΕ για την ασφάλεια. 

Σχήμα 8: European Unio - From PASR to the FP7 Theme «Security» (Πηγή: Information Day on 

Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007) 

Σημαντικές Υπηρεσίες της ΕΕ 

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Πληροφοριών και Δικτύων (European Network και Information 

Security Agency - ENISA 50 ) δημιουργήθηκε, ως νομική οντότητα, στις 14 Μαρτίου 2004 με 

σκοπό τη διασφάλιση ενός υψηλού επιπέδου σχετικά με την ασφάλεια δικτύων και πληροφοριών 

στην ΕΕ. Το 2005 ο Οργανισμός δημιούργησε το «Who is Who Directory on Network and Information 

Security» που περιέχει πληροφορίες και στοιχεία επικοινωνίας σχετικά με υπηρεσίες, οργανισμούς 

και φορείς που διαδραματίζουν ρόλο στο πεδίο της «Ασφάλειας Πληροφοριών και Δικτύων» 

στα Κ-Μ της ΕΕ. Επίσης, ο Οργανισμός έχει δημιουργήσει λεπτομερή κατάλογο των δραστηριοτητων 

CERT στην Ευρώπη καθώς και ένα Permanent Stakeholder’s Group (PSG) που αποτελείται από 

εμπειρογνώμονες από τη βιομηχανία, την ακαδημαϊκή κοινότητα και τις κοινότητες χρηστών. 

Ανάμεσα στις άλλες του δραστηριότητες, ο Οργανισμός εκδίδει ειδικό ενημερωτικό δελτίο κάθε τετράμηνο 

ενώ προωθεί πολιτικές σχετικά με μια «Ασφαλή Κοινωνία της Πληροφορίας» 51 . 

Στο Σχήμα 9 συνοψίζονται οι δραστηριότητες R&D και οι πολιτικές της ΕΕ σε θέματα CICIP: 

49 http://cordis.europa.eu/fp7/ict/security/fp7_en.html. 

50 http://enisa.europa.eu/. 

51 EU Police on Secure Information Society, http://ec.europa.eu/information_society/policy/nis/index_en.htm. 



78



Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: Information Day on Critical 

Infrastructure Protection Joint Call, Brussels, 27 September 2007) 

Νομοθετικό και Κανονιστικό Πλαίσιο στην ΕΕ 

Μερικές σημαντικές οδηγίες της ΕΕ είναι οι ακόλουθες: 

• Οδηγία σχετικά με την προστασία των προσωπικών δεδομένων: Data Protection Directive 1995 

(95/46/EC). 

• Οδηγία σχετικά με τις ηλεκτρονικές υπογραφές: Directive on Electronic Signature 1999 (1999/93/ 

CE). 

• Οδηγία σχετικά με την προστασία της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών: 

Directive on Privacy Protection in the Electronic Communications Sector 2002 (2002/58/CE). 

• Framework Directive 2002 (2002/21/EC). 

• Απόφαση του Συμβουλίου της ΕΕΑ σχετικά με τις επιθέσεις σε ΠΣ: Council Framework Decision 

on Attacks Against Information Systems 2005 (2005/222/JHA). 

• Οδηγία σχετικά με τη διατήρηση δεδομένων: Directive on Data Retention 2005. 

3.3.6 Διεθνείς Φορείς 

Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που 

ακουλουθούνται από Διεθνείς Φορείς. 

3.3.6.1 Forum of Incident Response and Security Teams (FIRST) 

Ο συγκεκριμένος Οργανισμός 52 ιδρύθηκε το 1990, ως αναγνωρισμένος παγκόσμιος ηγέτης σε θέματα 

διαχείρισης περιστατικών. Αποτελεί ένα τόπο δημόσιας συζήτησης (forum) που ενώνει έναν αριθμό 

από ομάδες διαχείρισης περιστατικών θεμάτων ασφαλείας που προέρχονται από κυβερνητικούς, ε- 

μπορικούς και ακαδημαϊκούς/εκπαιδευτικούς οργανισμούς. Αυτή τη στιγμή αριθμεί περισσότερα από 

180 μέλη από όλες τις ηπείρους. 

52 http://www.first.org/. 



79



Παρέχει πρόσβαση σε επίκαιρα έγγραφα σχετικά με βέλτιστες πρακτικές, τεχνικά έγγραφα για ειδικούς 

σε θέματα ασφάλειας, πρακτικά σεμινάρια, εκδόσεις και υπηρεσίες web. Επιπρόσθετα, διοργανώνει 

το ετήσιο συνέδριο αντιμετώπισης περιστατικών ενώ διαθέτει και ειδικές ομάδες ενδιαφέροντος 

(special interest groups) για διάφορα εξειδικευμένα θέματα. 

Αναφορικά με την οργανωτική δομή του και το πλαίσιο λειτουργίας του, ο Οργανισμός αποτελείται 

από: α) την Επιτροπή καθοδήγησης (Steering Committee), β) το Συμβούλιο Διευθυντών (Board of 

Directors), γ) τη Γραμματεία (Secretariat), δ) τις Ομάδες-Μέλη (Member Teams), ε) τους Συνδέσμους 

(Laisons) και στ) τις Ομάδες εργασίας και Επιτροπές (Working Groups και Committees). 

3.3.7 Άλλοι Διεθνείς Οργανισμοί 

Άλλοι Διεθνείς Οργανισμοί που αναφέρονται στο [Abe-06] είναι οι: 

• Group of Eight (G8) 

• North Atlantic Treaty Organisation (NATO) 

• Organisation for Economic Co-operation and Development (OECD) 

• United Nations (UN) 

• The World Bank Group 

Οι Οργανισμοί αυτοί δεν περιγράφονται στο παρόν, γιατί παραμένουν περισσότερο σε επίπεδο κατευθυντήριων 

γραμμών (guidelines) και αρχών (principles). 

3.4 Αποτίμηση και Σύγκριση - Συμπεράσματα 

3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP 

Στους παρακάτω πίνακες (Πίνακας 1, Πίνακας 2) συνοψίζονται τα κριτήρια αξιολόγησης προσεγγίσεων 

CICIP που έχουν περιγραφεί σε προηγούμενη ενότητα, με λεπτομέρειες για τις προσεγγίσεις 

που ακολουθούνται από κάθε χώρα που περιγράφεται στο παρόν: 

Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP 



80



3.5 Προτεινόμενο Πλαίσιο CICIP 

Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP 

3.5.1 Προτεινόμενο Μοντέλο συνεργασίας 

Σύμφωνα με το [Sut-07], μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CIC- 

IP (CICIP organisational unit), ιδανικά, περιλαμβάνει τους εξής εταίρους: 

• Μια Κυβερνητική Υπηρεσία (governmental agency): Παρέχει στρατηγικές κατευθύνσεις, ηγείται 

της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει. 

• Ένα Κέντρο Ανάλυσης (analysis center): Που διαθέτει ισχυρές διασυνδέσεις με την κοινότητα 

που σχετίζεται με την ανάλυση πληροφοριών (intelligence community) και αποκαλείται και Situation 

Center. 

• Ένα Κέντρο Αριστείας (technical center of expertise): Συνήθως αποτελείται από μέλη του προσωπικού 

ενός εθνικού CERT (CERT Team). 

Η τριάδα που απαρτίζει το προτεινόμενο οργανωτικό σχήμα CICIP απεικονίζεται στο Σχήμα 10: 



81



Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07] 

Ενδεικτικά, το προτεινόμενο οργανόγραμμα του οργανωτικού αυτού σχήματος θα μπορούσε να είναι 

το περιγραφόμενο στο Σχήμα 11. 

Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07] 

Οι εταίροι ενός τέτοιου οργανωτικού σχήματος απαιτείται να διαθέτουν συγκεκριμένα προσόντα, τα 

οποία αναφέρονται ενδεικτικά στον Πίνακας 3. 

Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07] 



82



Προκειμένου να μπορέσει να επιτύχει στις εργασίες της, κάθε μια από τις υπο-ομάδες του οργανωτικού 

σχήματος CICIP (Head of the Unit, Situation Center, CERT Team), πρέπει να ενσωματωθεί σε έ- 

να ευρύ δίκτυο εθνικών και διεθνών εταίρων με τους οποίους θα αναπτύξει σχέσεις και θα κάνει τις 

απαραίτητες επαφές. Το δίκτυο αυτό παρουσιάζεται στο Σχήμα 12. 

Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07] 

Εξίσου σημαντικό με την οργανωτική δομή μιας μονάδας CICIP είναι και το κοινό στο οποίο απευθύνεται. 

Έτσι, το προτεινόμενο σχήμα θα πρέπει να εξυπηρετεί δύο κύριες κατηγορίες «πελατών», με 

διαφορετικές ανάγκες και εταίρους: 

• Closed Customer Base (CCB): Περιλαμβάνει τους διαχειριστές των κρίσιμων εθνικών υποδομών. 

• Open Customer Base (OCB): Περιλαμβάνει όλες τις άλλες εταιρείες (κυρίως SMEs) καθώς και 

οικιακούς χρήστες (home computer users). 

Το Σχήμα 13 παρουσιάζει διαγραμματικά τη σχεδίαση της CCB. 

Σχήμα 13: Δομή CCB [Sut-07] 



83



Τα μέλη της CCB μπορούν να ανταλλάσουν μεταξύ τους πληροφορία, σε διάφορα επίπεδα διαβάθμισης. 

Τα επίπεδα αυτά παρουσιάζονται σχηματικά στο Σχήμα 14. 

Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07] 

Το Σχήμα 15 παρουσιάζει τις ομοιότητες και τις διαφορές των δύο βάσεων. 

Σχήμα 15: Σύγκριση CCB και OCB [Sut-07] 



84



4 

Οργανωτικά Σχήματα και Εποπτικοί 

Φορείς Ασφάλειας Πληροφοριακών 

Συστημάτων στην Ελλάδα 



85



4. Οργανωτικά Σχήματα και Εποπτικοί Φορείς Ασφάλειας 

Πληροφοριακών Συστημάτων στην Ελλάδα 

4.1 Εισαγωγή 

Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση οργανωτικών σχημάτων και Φορέων Ασφάλειας 

Πληροφοριακών Συστημάτων στον ελλαδικό χώρο. 

4.2 Ελληνικοί Εποπτικοί/Κανονιστικοί/Διωκτικοί Φορείς Ασφάλειας 

4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας 

Το ΓΕΕΘΑ αποτελεί το βασικό φορέα που φροντίζει για την ασφάλεια της χώρας και των συνόρων. 

Στο πλαίσιο αυτά και βάσει του Ν. 1892/1990 ρυθμίζει και τις δικαιοπραξίες με αλλοδαπούς στις παραμεθόριες 

περιοχές. Επίσης ασχολείται με την ασφάλεια των βιομηχανιών που λειτουργούν στη χώρα, 

καθώς και με την γενικότερη εφαρμογή του νομικού και κανονιστικού πλαισίου ασφαλείας. Ο 

ρόλος του ΓΕΕΘΑ είναι επιτελικός σε εθνικό επίπεδο και, ως εκ τούτου, οι πολίτες δεν έρχονται άμεσα 

σε επαφή με αυτό για θέματα ασφαλείας. Σχετικές καταγγελίες ιδιαίτερα για ζητήματα εθνικής 

ασφάλειας μπορούν να γίνονται μέσω των αρμόδιων διωκτικών αρχών της χώρας. 

Στον τομέα της ασφάλειας πληροφοριών, μία βασική δράση της Εθνικής Αρχής Ασφάλειας είναι η 

έκδοση του Εθνικού Κανονισμού Ασφαλείας (ΕΚΑ) βάσει του Π.Δ. 17/74. Ο κανονισμός αυτός, εκδίδεται 

σε συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) και αφορά την ασφάλεια των 

ηλεκτρονικά επεξεργασμένων διαβαθμισμένων (εθνικά ευαίσθητων) πληροφοριών. Για την διαμόρφωσή 

του έχουν ληφθεί υπόψη οι αντίστοιχοι κανονισμοί του ΝΑΤΟ. Ο κανονισμός αυτός εφαρμόζεται 

σε όλους τους δημόσιους φορείς (υπουργεία, περιφέρειες, νομαρχίες κλπ), ενώ υπεύθυνη για την 

τηρηση του τεχνικού μέρους του είναι η ΕΥΠ. 

4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ 

Η ΕΥΠ που ανήκει πλέον στο Υπουργείο Εσωτερικών καθίσταται σύμφωνα με το Νόμο ΕΚ A 39/ 

03.03.2008 με αρ. 3649 (Παράρτημα Γ) ως Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και υπεύθυνη 

του κρατικού CERT κατά την παρ. 5 του Μέρους Ι της υπ΄ αριθμ. 264/19-3-2001 Απόφασης του 

Συμβουλίου της Ευρωπαϊκής ΄Ενωσης και την παρ. 3 του άρθρου 2 του Π.Δ. 325/2003, η οποία μεριμνά 

για την ασφάλεια των εθνικών επικοινωνιών και των συστημάτων τεχνολογίας πληροφοριών, 

καθώς και για την πιστοποίηση του διαβαθμισμένου υλικού των εθνικών επικοινωνιών. 

Αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων, κατά την παρ. 36 Τμήμα ΧΙ, 

Κεφάλαιο ΙΙΙ του Μέρους ΙΙ της υπ’ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊκής 

Ένωσης και την παρ. 4 του άρθρου 2 του Π.Δ. 325/2003, η οποία μεριμνά για τη στατική και ε- 

νεργητική αντιμετώπιση σε περιπτώσεις πρόκλησης βλάβης ή καταστροφής δικτύων επικοινωνιών, ε- 

γκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής. 

4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ 

Οι αρμοδιότητες της Διεύθυνσης Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης είναι η προπαρασκευή 

και ετοιμότητα των υπηρεσιών (Προεδρίας της Δημοκρατίας, Πολιτικού Γραφείου Πρωθυπουργού, 

Γραμματεία Υπουργικού Συμβουλίου, Εθνικού Τυπογραφείου και όλων των Υπηρεσιών, Νομικών 

Προσώπων Δημοσίου Δικαίου και Ανεξαρτήτων Αρχών που υπάγονται στη Γενική Γραμματεία Δημόσιας 

Διοίκησης), με σκοπό την ομαλή μετάπτωση αυτών από την ειρηνική στην πολεμική περίοδο, 

με την κατάρτιση των αναγκαίων σχεδίων και τη λήψη των καταλλήλων μέτρων και μέσων που είναι 

απαραίτητα για την πραγματοποίηση της αποστολής της αυτής. Στη Διεύθυνση Πολιτικού Σχεδιασμού 

Εκτάκτου Ανάγκης, οι αρμοδιότητες σχετικά με την ασφάλεια είναι: 

α) Η κατάρτιση, τήρηση και αναθεώρηση των δι’ αποφάσεως του Κυβερνητικού Συμβουλίου Εξωτερικών 

και Άμυνας (ΚΥΣΕΑ) οριζομένων σχεδίων οργανώσεως, προπαρασκευής και κινητοποι- 



86



ήσεως εν καιρώ πολέμου ή εκτάκτων εν ειρήνη αναγκών των υπηρεσιών της Γενικής Γραμματείας 

Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης καθώς και των αυτοτελών επιτελικών 

δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσίας. 

β) Η κοινοποίηση των Σχεδίων ΠΣΕΑ στις Νομαρχίες και η παροχή οδηγιών για την κατάρτιση των 

αντίστοιχων τοπικών σχεδίων. 

γ) Η μέριμνα για τη σύνταξη και υποβολή αρμοδίως εκθέσεως επί της προόδου της Πολιτικής Σχεδιασμού 

Εκτάκτου Ανάγκης καθώς και προτάσεων επί των ληπτέων μέτρων για την προώθηση 

αυτής 

δ) Η συγκέντρωση, επεξεργασία, τήρηση και εκμετάλλευση πάσης φύσεως στατιστικών στοιχείων 

και πληροφοριών για την αποτελεσματικότερη υποστήριξη των υπηρεσιών της ΓΓΔΔ και ΗΔ καθώς 

και η διενέργεια των διατασσομένων απογραφών 

ε) Ο έλεγχος της ετοιμότητας και ο συντονισμός των υπηρεσιών της ΓΓΔΔ και ΗΔ καθώς και των 

αυτοτελών επιτελικών δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσίας, 

για την υλοποίηση των υφισταμένων σχεδίων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης. 

στ) η μέριμνα για την προπαρασκευή και εκτέλεση των προγραμματιζομένων εκάστοτε εθνικών και 

διασυμμαχικών ασκήσεων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης 

ζ) Η παροχή συνδρομής για την υλοποίηση των σχεδίων άλλων Υπουργείων ή Υπηρεσιών, εφόσον 

με τις εκάστοτε αποφάσεις του ΚΥΣΕΑ η ΓΓΔΔ και ΗΔ ορίζεται ότι συνεργάζεται με αυτές. 

4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ 

Η ΥΑΠ του Υπουργείου Εσωτερικών και Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΑΑ) έχει 

ως σκοπό την εφαρμογή της Κυβερνητικής Πολιτικής για την εισαγωγή, εφαρμογή και ανάπτυξη της 

πληροφορικής και της τεχνολογίας των Ηλεκτρονικών Υπολογιστών στον Δημόσιο Τομέα. Επίσης 

ορίστηκε σύμφωνα με το άρθρο 20 του Ν. 3448/2006 (57/Α’/15-03-2006) ως «Αρχή Πιστοποίησης 

του Ελληνικού Δημοσίου» (ΑΠΕΔ), δηλαδή ως «Πρωτεύουσα Αρχή Πιστοποίησης» (ΠΑΠ). 

Στο έγγραφο της ΥΑΠ με αριθμό πρωτοκόλλου ΥΑΠ/Φ.06.11/3633 (Παράτημα Β) υπογεγραμμένο 

από τον Υπουργό, στο άρ. 4 αναφέρεται αποκλειστικά για το θέμα της διαθεσιμότητας των πληροφοριακών 

συστημάτων σε όλη την Δημόσια Διοίκηση το οποίο τελικά προτρέπει για δημιουργία “Σχεδίων 

Ανάκαμψης Καταστροφών». Συγκεκριμένα αναφέρει: 

“Σε πολλούς φορείς του Δημοσίου Τομέα η μη διαθεσιμότητα των πληροφοριακών τους συστημάτων 

όποτε τα χρειάζονται, είτε λόγω φυσικών καταστροφών (π.χ. πυρκαγιάς, πλημμύρας, δολιοφθοράς, 

κλπ.) είτε λόγω διαφόρων βλαβών (π.χ. διακοπής παροχής ηλεκτρικού ρεύματος, βλαβών διαφόρων 

συνιστωσών του υλικού, κλπ), μπορεί να προκαλέσει σημαντικά λειτουργικά προβλήματα, με ιδιαίτερα 

δυσάρεστες συνέπειες. Η κατάλληλη χωροθέτηση, η διαμόρφωση των χώρων και ο εξοπλισμός 

των Μηχανογραφικών Κέντρων με την αναγκαία υποδομή σε συνδυασμό με τις κατάλληλες πολιτικές 

για: α) τη συντήρηση του υλικού και του λογισμικού τους, β) τον εφεδρικό εξοπλισμό και γ) τα ε- 

φεδρικά αντίγράφα των ηλεκτρονικών στοιχείων μπορούν να συμβάλουν στην εξασφάλιση του επιθυμητού 

υψηλού επιπέδου διαθεσιμότητας και στην αποφυγή όλων των σχετικών λειτουργικών προβλημάτων.” 

4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών 

Στο Ν. 3431 περί Ηλεκτρονικών Υπηρεσιών, στο άρ. 4 παράγραφος ιστ, ορίζεται το Υπουργείο Μεταφορών 

και Επικοινωνιών μαζί με τους παραπάνω φορείς υπεύθυνους για την χάραξη της πολιτικής 

επί της ασφάλειας των Δημόσιων Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών από κοινού 

με τους συναρμόδιους Υπουργούς. 

Στη Στρατηγική του ΥΜΕ για τις Ηλεκτρονικές Επικοινωνίες και τις Νέες Τεχνολογίες 2008-13 αναφέρεται 

ως στρατηγική προτεραιότητα του ΥΜΕ η υλοποίηση πολιτικής για την ασφάλεια των Δημόσιων 

Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών. Ακόμα δεν έχει ξεκινήσει η εν λόγω διαδικασία. 



87



4.2.6 Τράπεζα Ελλάδος 

Κάποιες από τις υπηρεσίες η-διακυβέρνησης μελλοντικά θα εμπλέκουν και το τραπεζικό σύστημα 

(η-πληρωμές, η-τιμολόγηση, η-τραπεζική). Η Διεύθυνση Εποπτείας Πιστωτικού Συστήματος (ΔΕ 

ΠΣ) της Τράπεζας της Ελλάδος είναι επιφορτισμένη με την άσκηση της προληπτικής εποπτείας των 

πιστωτικών και χρηματοδοτικών ιδρυμάτων η οποία στοχεύει στην διασφάλιση της σταθερότητας και 

της εύρυθμης λειτουργίας του εγχώριου χρηματοπιστωτικού συστήματος. 

Το Θεσμικό Πλαίσιο για την άσκηση της εποπτείας έχει κατά κύριο λόγο διαμορφωθεί από την ενσωμάτωση 

της σχετικής κοινοτικής νομοθεσίας, η οποία με τη σειρά της είναι συμβατή με τις αρχές της 

Βασιλείας. Πιο συγκεκριμένα, ο Νόμος 3601/2007 και οι Πράξεις Διοικητή 2587/2007, 2588/2007, 

2589/2007, 2590/2007, 2591/2007, 2592/2007, 2593/2007, 2594/2007, 2595/2007, 2596/2007 συνιστούν 

το νέο πλαίσιο εποπτείας (Βασιλεία ΙΙ) και οι Πράξεις Διοικητή 2577/2006, 2595/2007 και 

2597/2007 καθώς και οι αποφάσεις ΕΤΠΘ 231/4/13.10.2006 και 242/6/04.05.2007 αφορούν στα Συστήματα 

Εσωτερικού Ελέγχου (ΣΕΕ)), στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού 

συστήματος για τη νομιμοποίηση των εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδότηση 

της τρομοκρατίας και σε λοιπά θέματα. Στο πλαίσιο αυτό και σχετικά με τα πληροφοριακά συστηματα 

η Τράπεζα της Ελλάδος έχει εκδώσει την Πράξη Διοικητή 2577/2006, στο Παράρτημα 2 της 

οποίας περιλαμβάνονται οι "Αρχές ασφαλούς και αποτελεσματικής λειτουργίας των συστημάτων 

πληροφορικής στο πλαίσιο της διαχείρισης του λειτουργικού κινδύνου από τα πιστωτικά ιδρύματα". 

4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών 

Η Διεύθυνση Εγκληματολογικών Ερευνών της Ελληνικής Αστυνομίας αποτελεί την εγκληματολογική 

υπηρεσία της χώρα, έχει ενταχθεί στο Δίκτυο Εγκληματολογικών Ινστιτούτων (ENFSI) και παρέχει 

υποστήριξη στο έργο όλων των εθνικών διωκτικών αρχών. 

Μέρος της παραπάνω Διεύθυνσης είναι o Τομέας Εξέτασης Ψηφιακών Πειστηρίων, ο οποίος εξετάζει 

πειστήρια σχετικά με το ηλεκτρονικό έγκλημα που αποστέλλονται σε αυτό μέσω οποιασδήποτε 

διωκτικής αρχής της χώρας (κρατική υπηρεσία ή Αρχή). Η εξέταση και ανάλυση των ψηφιακών πειστηρίων 

γίνεται με χρήση ειδικών εργαλείων και διαδικασιών (computer forensics). Το μεγαλύτερο 

μερος των πειστηρίων που εξετάζονται σήμερα αφορούν περιπτώσεις παιδικής πορνογραφίας. 

Υπάρχει η Διεύθυνση χειρισμού κρίσεων (στον Κλάδο Ασφάλειας και Τάξης), που ασχολείται με την 

ανάλυση πληροφοριών και εκτίμηση απειλών. Το οργανόγραμμα της Ελληνικής Αστυνομίας περιγράφεται 

στο Σχήμα 16. 

Οι πολίτες δεν μπορούν να έρθουν άμεσα σε επαφή με την Διεύθυνση Εγκληματολογικών Ερευνών 

της Ελληνικής Αστυνομίας, καθώς η ίδια δεν αποτελεί διωκτική αρχή. Αντίθετα, μπορούν να κάνουν 

καταγγελίες για ηλεκτρονικό έγκλημα σε όλες τις αρμόδιες διωκτικές αρχές της χώρας και στην συνέχεια 

τα πειστήρια προς εξέταση στέλνονται στην παραπάνω Διεύθυνση για περαιτέρω ανάλυση. 

Σημειώνεται ότι ήδη έχει ιδρυθεί το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος, που δραστηριοποιείται, 

με εμφανείς επιτυχίς, στο πλαίσιο της Διεύθυνσης Ασφάλειας Αττικής, με σκοπό τη διενέργεια 

προανακριτικών πράξεων, που αφορούν σε ηλεκτρονικό έγκλημα. Η υπηρεσία αυτή έρχεται σε άμεση 

επαφή με τους πολίτες. 



88



4.3 Ρυθμιστικοί φορείς Ασφάλειας 

Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας 

4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) 

Η ΑΠΠΔ είναι ένας ανεξάρτητος διοικητικός φορέας, υπεύθυνος για την εποπτεία του Νόμου 

2472/1997 για την προστασία των προσωπικών δεδομένων και του Νόμου 2774/99 για την προστασία 

των προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα στην Ελλάδα. 

Η ΑΠΠΔ απευθύνεται στους πολίτες και σε όλους τους υπεύθυνους επεξεργασίας που τηρούν αρχεία 

με προσωπικά δεδομένα. Ειδικότερα, οι πολίτες μπορούν να κάνουν ερωτήσεις ή καταγγελίες σχετικά 

με θέματα παραβίασης των προσωπικών τους δεδομένων στην ΑΠΠΔ, ενώ οι υπεύθυνοι επεξεργασίας 

οφείλουν να συμβουλεύονται την Αρχή και κατά περίπτωση να ζητούν την άδεια της για 

την νόμιμη τήρηση των αρχείων τους. 

Η Αρχή συγκροτείται από τον Πρόεδρο και έξι μέλη, και εξυπηρετείται από Γραμματεία που λειτουργεί 

σε επίπεδο Διεύθυνσης. Ο Πρόεδρος είναι απαραίτητα δικαστικός λειτουργός βαθμού Συμ- 



89



βούλου της Επικρατείας ή αντίστοιχου και άνω. Τόσο ο Πρόεδρος όσο και τα μέλη, καθώς και οι ισάριθμοι 

αναπληρωτές τους, διορίζονται με τετραετή θητεία που μπορεί να ανανεωθεί μία μόνο φορά. 

Η Γραμματεία της Αρχής αποτελείται από τρία Τμήματα: Ελεγκτών, Επικοινωνίας, Διοικητικών και 

Οικονομικών Υποθέσεων. 

Οι αρμοδιότητες της Αρχής περιλαμβάνουν: 

• Έκδοση οδηγιών προς τον σκοπό ενιαίας εφαρμογής των ρυθμίσεων που αφορούν την προστασία 

του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. 

• Χορήγηση αδειών τήρησης αρχείων με ευαίσθητα δεδομένα σε υπεύθυνους επεξεργασίας, καθώς 

επίσης και αδειών διασύνδεσης αρχείων και διασυνοριακής ροής δεδομένων. 

• Καταγγελία των παραβάσεων των διατάξεων των παραπάνω Νόμων στις αρμόδιες διοικητικές 

και δικαστικές αρχές και επιβολή διοικητικών κυρώσεων. 

• Διενέργεια διοικητικών ελέγχων σε αρχεία προσωπικών δεδομένων, οι οποίοι δύναται να είναι 

αυτεπάγγελτοι. 

• Γνωμοδότηση για ρυθμίσεις που αφορούν επεξεργασία και προστασία δεδομένων προσωπικού 

χαρακτήρα. 

• Έκδοση κανονιστικών πράξεων για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων. 

Πιο συγκεκριμένα, η Αρχή επιβλέπει την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα: 

α) Μέσω Οδηγιών – Κανονιστικών Πράξεων 

Για το σκοπό αυτό η Αρχή: 

• Εκδίδει Οδηγίες για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. 

• Εκδίδει Κανονιστικές Πράξεις και γνωμοδοτεί για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών 

θεμάτων. 

• Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και δίδει κατά την κρίση 

της δημοσιότητα σε αυτές. 

• Συνεργάζεται με αντίστοιχες αρχές άλλων κρατών μελών της Ε.Ε. 

β) Με την υποβολή γνωστοποιήσεων ή τη λήψη αδειών από τους υπεύθυνους επεξεργασίας 

Κάθε υπεύθυνος επεξεργασίας είναι υποχρεωμένος σύμφωνα με το άρ. 6 του Ν. 2472/1997 να γνωστοποιεί 

εγγράφως στην Αρχή, τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας. 

Στο πλαίσιο της γνωστοποίησης είναι υποχρεωμένος να ενημερώσει για τα βασικά χαρακτηριστικά 

του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας. Στις περιπτώσεις που 

πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων η Αρχή πρέπει να χορηγήσει ά- 

δεια προτού ξεκινήσει η επεξεργασία των δεδομένων. Με την έκδοση της άδειας η Αρχή επιβάλει ό- 

ρους και προϋποθέσεις για την ίδρυση και λειτουργία του αρχείου. Ανάλογα με τη φύση της επεξεργασίας 

απαιτείται η κατάθεση (ή η σύνταξη) κωδίκων δεοντολογίας, σχεδίου ασφαλείας ή/και σχεδίου 

έκτακτης ανάγκης. 

γ) Με τη διενέργεια ελέγχων 

Η Αρχή έχει δικαίωμα διενέργειας διοικητικού ελέγχου σε κάθε αρχείο με προσωπικά δεδομένα. Στο 

πλαίσιο του ελέγχου εξετάζεται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που 

υποστηρίζουν την επεξεργασία των δεδομένων. Η Αρχή έχει δικαίωμα προσβάσεως στα δεδομένα 

προσωπικού χαρακτήρα, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο (αν και υπάρχουν 

ειδικές δικλείδες σε περιπτώσεις ζητημάτων εθνικής ασφάλειας). Οι έλεγχοι πραγματοποιούνται 

είτε αυτεπάγγελτα, είτε κατόπιν καταγγελίας είτε ανά τομέα επεξεργασίας. Κατά τη διενέργεια των ε- 

λέγχων χρησιμοποιούνται συγκεκριμένες μεθοδολογίες, στο πλαίσιο των οποίων εξετάζεται η συμμόρφωση 

των υπευθύνων επεξεργασίας με κάθε πτυχή της νομοθεσίας για τα προσωπικά δεδομενα. 



90



Το θέμα της ασφαλούς επεξεργασίας των προσωπικών δεδομένων ρυθμίζεται από το άρθρο 10 του ν. 

2472/1997. Σύμφωνα με αυτό το άρθρο η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι α- 

πόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου 

επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του. 

Ο νόμος δεν θέτει συγκεκριμένες απαιτήσεις ασφάλειας για τους υπευθύνους επεξεργασίας. Σύμφωνα 

με το νόμο, ο υπεύθυνος επεξεργασίας έχει την ευθύνη να εξασφαλίσει επίπεδο ασφάλειας ανάλογο 

προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων. Αναλυτικότερα: 

• οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις 

από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 

• οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομενων 

και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη 

διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. 

Η Αρχή συμβουλεύει τους υπευθύνους επεξεργασίας στην κατάρτιση κωδίκων δεοντολογίας για την 

επεξεργασία προσωπικών δεδομένων και ζητά την υποβολή τους καθώς και την υποβολή σχεδίων 

ασφαλείας και/ή σχεδίων έκτακτης ανάγκης ιδιαίτερα στις περιπτώσεις όπου πραγματοποιείται επεξεργασία 

ευαίσθητων προσωπικών δεδομένων. 

• Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περιλαμβάνουν 

τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δεσμευτικός 

ως προς την τήρηση του από τους υπαλλήλους του υπευθύνου επεξεργασίας ή τα μέλη 

της επαγγελματικής ομάδας. 

• Το Σχέδιο Ασφάλειας (Security Plan) είναι ένα έγγραφο στο οποίο περιγράφεται η πολιτική ενός 

οργανισμού για την κάλυψη των βασικών απαιτήσεων ασφάλειας, καθώς επίσης και τα κύρια τεχνικά, 

διοικητικά και οργανωτικά μέτρα ασφάλειας που εφαρμόζονται ή/και πρόκειται να εφαρμοστούν. 

Το Σχέδιο Ασφάλειας αφορά τόσο αυτοματοποιημένα, όσο και μη αυτόματοποιημενα 

συστήματα διαχείρισης και επεξεργασίας δεδομένων και πρέπει να εφαρμόζεται με ακρίβεια για 

την προστασία των ευαίσθητων προσωπικών δεδομένων που τηρούνται από τον οργανισμό. Η 

σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσωπο, ορισμένο από τον οργανισμό 

και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού. 

• Το Σχέδιο Έκτακτης Ανάγκης (Disaster Recovery Plan and Contingency Plan) είναι ένα έγγραφο 

που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης ενός συστήματος πληροφοριών 

σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/ 

εισβολές, κλπ. Το Σχέδιο Έκτακτης Ανάγκης συμπληρώνει το Σχέδιο Ασφαλείας ενός οργανισμού 

και αφορά τόσο αυτοματοποιημένα, όσο και μη αυτοματοποιημένα συστήματα διαχείρισης 

και επεξεργασίας δεδομένων. Η σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσωπο, 

ορισμένο από τον οργανισμό και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού. 

Ο υπεύθυνος επεξεργασίας πρέπει επίσης να μεριμνά για την ασφαλή καταστροφή των προσωπικών 

δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της 

επεξεργασίας. Η Αρχή έχει εκδώσει την Οδηγία 1/2005 με ενδεικτικά μέτρα για την ασφάλεια κατά 

την καταστροφή των προσωπικών δεδομένων. 

4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) 

H ΑΔΑΕ είναι ανεξάρτητη Αρχή που λειτουργεί βάσει του Ν. 3115/2003 µε σκοπό την προστασία 

του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας µε οποιονδήποτε 

τρόπο. 

Επίσης η Α∆ΑΕ γνωμοδοτεί σε συνεργασία με τα αρμόδια Υπουργεία σχετικά με τις διαδικασίες, καθώς 

και τις τεχνικές και οργανωτικές εγγυήσεις, για την άρση του απορρήτου των επικοινωνιών, όταν 

αυτή διατάσσεται από τις αρµόδιες δικαστικές και εισαγγελικές αρχές. 



91



Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας 

στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του 

απορρήτου όπου αυτό απαιτείται. 

Συνοπτικά, οι αρμοδιότητες της ΑΔΑΕ περιλαμβάνουν: 

• Προστασία του απορρήτου επιστολών, επικοινωνιών. 

• Διενέργεια αυτεπάγγελτων ελέγχων επιχειρήσεων που έχουν γενικό αντικείμενο την επικοινωνία. 

• Κατάσχεση ψηφιακών πειστηρίων, καταστροφή στοιχείων που έχουν καταγραφεί παράνομα.. 

• Κανονιστικές πράξεις. 

• Πιστοποίηση μέτρων ασφαλείας βάσει κανονισμών. 

• Πιστοποίηση προϊόντων ασφαλείας. 

• Εποπτεία της λειτουργίας και οργάνωσης των υπηρεσιών ταχυδρομείων. 

• Έλεγχο Παρόχων κινητής τηλεφωνίας - Υποβολή πολιτικής ασφαλείας [ΦΕΚ 87 Β’/26-1-2005 

και 88 Β’/26-1-2005]. 

• Συγκέντρωση ετήσιων εκθέσεων για Περιστατικά Ασφάλειας από τους Παρόχους. 

• Έλεγχο Αρχών (πχ. ΕΥΠ). 

• Έλεγχο της διαδικασίας άρσης απορρήτου από τους Παρόχους και τις Αρχές. 

• [ΠΔ40]. 

• Εποπτεία της διαδικασίας διατήρησης δεδομένων επικοινωνίας (εξωτερικά στοιχεία επικοινωνίας 

– data retention). 

• Έλεγχο τραπεζών για διασφάλιση απορρήτου στην επικοινωνία με τα ΑΤΜ. 

Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας 

στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του 

απορρήτου όπου αυτό απαιτείται. 

Πιο αναλυτικά, σύμφωνα με το άρθρο 6 του Ν. 3115/03, η ΑΔΑΕ έχει τις ακόλουθες αρμοδιότητες: 

α) Διενεργεί, αυτεπαγγέλτως ή κατόπιν καταγγελίας, τακτικούς και έκτακτους ελέγχους, σε εγκαταστασεις, 

τεχνικό εξοπλισμό, αρχεία, τράπεζες δεδομένων και έγγραφα της Εθνικής Υπηρεσίας 

Πληροφοριών (ΕΥΠ), άλλων δημοσίων υπηρεσιών, οργανισμών, επιχειρήσεων του ευρύτερου 

δημόσιου τομέα, καθώς και ιδιωτικών επιχειρήσεων που ασχολούνται με ταχυδρομικές, τηλεπικοινωνιακές 

ή άλλες υπηρεσίες σχετικές με την ανταπόκριση και την επικοινωνία. Τον έλεγχο διενεργεί 

μέλος (ή μέλη) της ΑΔΑΕ Για τη γραμματειακή υποστήριξη της διαδικασίας ελέγχου 

συμμετέχει και υπάλληλός της, εντεταλμένος προς τούτο από τον Πρόεδρό της. Κατά τον έλεγχο 

αρχείων που τηρούνται για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Πρόεδρος 

της ΑΔΑΕ 



92



β) Λαμβάνει πληροφορίες σχετικές με την αποστολή της από τις υπό το στοιχείο α’ αναφερθείσες υ- 

πηρεσίες, οργανισμούς και επιχειρήσεις, καθώς και από τους εποπτεύοντες Υπουργούς. 

γ) Καλεί σε ακρόαση, από τις υπηρεσίες, οργανισμούς, νομικά πρόσωπα και επιχειρήσεις που αναφέρονται 

στο ως άνω στοιχείο α’, τις διοικήσεις, τους νόμιμους εκπροσώπους, τους υπαλλήλους 

και κάθε άλλο πρόσωπο, το οποίο κρίνει ότι μπορεί να συμβάλει στην εκπλήρωση της αποστολής 

της. 

δ) Προβαίνει στην κατάσχεση μέσων παραβίασης του απορρήτου που υποπίπτουν στην αντίληψή 

της κατά την ενάσκηση του έργου της και ορίζεται μεσεγγυούχος αυτών, μέχρι να αποφανθούν 

τα αρμόδια δικαστήρια. Προβαίνει στην καταστροφή πληροφοριών ή στοιχείων ή δεδομένων, τα 

οποία απόκτήθηκαν με παράνομη παραβίαση του απορρήτου των επικοινωνιών. 

ε) Εξετάζει καταγγελίες σχετικά με την προστασία των δικαιωμάτων των αιτούντων, όταν θίγονται 

από τον τρόπο και τη διαδικασία άρσης του απορρήτου. 

στ) Στις περιπτώσεις των άρθρων 3, 4 και 5 του Ν. 2225/ 1994, η ΑΔΑΕ υπεισέρχεται μόνο στον έ- 

λεγχο της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου, χωρίς να εξετάζει την 

κρίση των αρμόδιων δικαστικών αρχών. 

ζ) Τηρεί αρχείο απόρρητης αλληλογραφίας, σύμφωνα με το στοιχείο β’ της παρ.2 του άρθρου 12 

του παρόντος νόμου. 

η) Συνεργάζεται με άλλες αρχές της χώρας, με αντίστοιχες αρχές άλλων κρατών, με ευρωπαϊκούς 

και διεθνείς οργανισμούς, για θέματα της αρμοδιότητάς της. 

θ) Συντάσσει κάθε χρόνο την προβλεπόμενη στην παράγραφο 2 του άρθρου 1 του παρόντος νόμου 

Έκθεση Πεπραγμένων, στην οποία περιγράφει το έργο της, διατυπώνει παρατηρήσεις, επισημαίνει 

παραλείψεις και προτείνει τυχόν ενδεικνυόμενες νομοθετικές μεταβολές στον τομέα διασφάλισης 

του απορρήτου των επικοινωνιών. 

ι) Γνωμοδοτεί και απευθύνει συστάσεις και υποδείξεις για τη λήψη μέτρων διασφάλισης του απορρήτου 

των επικοινωνιών, καθώς και για τη διαδικασία άρσης αυτού. 

ια) Εκδίδει τον Κανονισμό Εσωτερικής Λειτουργίας της, ο οποίος δημοσιεύεται στην Εφημερίδα της 

Κυβερνήσεως και ο οποίος πρέπει να είναι σύμφωνος με τις διατάξεις του Κώδικα Διοικητικής 

Διαδικασίας. 

ιβ) Εκδίδει κανονιστικές πράξεις που δημοσιεύονται στην Εφημερίδα της Κυβερνήσεως, με τις οποίες 

ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις ανωτέρω αρμοδιότητές της και 

την εν γένει διασφάλιση του απορρήτου των επικοινωνιών. 

ιγ) Καταρτίζει τον Κανονισμό Οικονομικής Διαχείρισης, ο οποίος υποβάλλεται και εγκρίνεται από 

τον Υπουργό Οικονομίας και Οικονομικών. Προς διαπίστωση των παραβάσεων της νομοθεσίας 

περί προστασίας του απορρήτου, τα μέλη και το προσωπικό της ΑΔΑΕ, πλην του βοηθητικού 

προσωπικού, διαθέτουν τις εξουσίες και τα δικαιώματα που προβλέπονται στο Ν. 703/1977, όπως 

αυτός ισχύει. Επίσης, έχουν δικαίωμα να ελέγχουν τα προβλεπόμενα από το Π.Δ. 186/1992 

(ΚΒΣ) βιβλία και στοιχεία επιχειρήσεων και οργανισμών, αποκλειόμενης της κατάσχεσης ή της 

παραλαβής τους, καθώς και πάσης φύσεως αρχεία, βιβλία, στοιχεία και λοιπά έγγραφα των υπό 

έλεγχο προσώπων, να διενεργούν έρευνα σε γραφεία και λοιπές εγκαταστάσεις τους και, τέλος, 

να λαμβάνουν ένορκες και ανωμοτί, κατά την κρίση τους, καταθέσεις, με την επιφύλαξη του άρ. 

212 του Κώδικα Ποινικής Δικονομίας. Οι σχετικές διατάξεις, απαγορεύσεις, ποινές και κυρώσεις 

του Ν. 703/1977, όπως αυτός ισχύει, εφαρμόζονται αναλόγως σε περίπτωση αρνήσεως παροχής 

στοιχείων, παρεμπόδισης ή δυσχέρειας του έργου της ΑΔΑΕ, με την επιφύλαξη της εφαρμογής 

των προβλεπόμενων από τον παρόντα νόμο κυρώσεων. 

4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) 

Η ΕΕΤΤ είναι η ανεξάρτητη ρυθμιστική και εποπτική αρχή για την τηλεπικοινωνιακή αγορά και την 

αγορά των ταχυδρομικών υπηρεσιών σε εθνικό επίπεδο. Η ίδρυση της έγινε το 1992 με τον Ν.2075, 

αλλά ο σημερινός της ρόλος θεσπίζεται βάσει του νέου Ν.2867/2000. 



93



Η ΕΕΤΤ απευθύνεται στους πολίτες και επιχειρήσεις με σκοπό την ενημέρωση τους και την εξέταση 

ερωτημάτων και καταγγελιών σχετικά με υπηρεσίες τηλεπικοινωνιών και ταχυδρομείων. Για το λόγο 

αυτό έχει δημιουργήσει ειδικό Τομέα Εξυπηρέτησης Καταναλωτών που λειτουργεί σε καθημερινή 

βάση. 

Μερικές από τις αρμοδιότητες της ΕΕΤΤ είναι οι ακόλουθες: 

• Ρυθμίζει όλα τα θέματα που αφορούν στις Γενικές και Ειδικές Άδειες τηλεπικοινωνιακών δραστηριοτήτων. 

• Καθορίζει τις αρχές κοστολόγησης και τιμολόγησης για την πρόσβαση και χρήση του Τοπικού 

Βρόχου, των Μισθωμένων Γραμμών και της Διασύνδεσης, με την έκδοση σχετικών κανονισμών. 

• Συντάσσει το Εθνικό Σχέδιο Αριθμοδότησης, εκχωρεί αριθμούς και ονόματα δικτυακών τόπων 

(domain names) και προβαίνει στη διαπίστευση των φορέων που παρέχουν πιστοποίηση ηλεκτρονικής 

υπογραφής. 

• Ρυθμίζει τα σχετικά θέματα του Διαδικτύου 

• Επιπλέον μια βασική αρμοδιότητα της ΕΕΤΤ είναι η εποπτεία και ο έλεγχος παροχής υπηρεσιών 

ηλεκτρονικής υπογραφής. Ειδικότερα, σύμφωνα με το Π.Δ. 150/2001 «Προσαρμογή στην Οδηγία 

99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του συμβουλίου σχετικά με το κοινοτικό πλαίσιο 

για ηλεκτρονικές υπογραφές», η ΕΕΤΤ είναι η αρμόδια Αρχή για τον έλεγχο και την εποπτεία 

των εγκατεστημένων στην Ελλάδα παρόχων υπηρεσιών πιστοποίησης ηλεκτρονικής υπογραφής 

καθώς και για την διαπίστωση της συμμόρφωσης προς τις «ασφαλείς διατάξεις δημιουργίας υ- 

πογραφής». 

Σύμφωνα με το νόμο περί ηλεκτρονικών επικοινωνιών (Ν.3431/2006), μεταξύ των γενικών αρχών 

που διέπουν το πλαίσιο ρύθμισης των ηλεκτρονικών επικοινωνιών περιλαμβάνεται και η διασφάλιση 

της «διατήρησης της ακεραιότητας και της ασφάλειας των δημόσιων δικτύων επικοινωνιών» (άρθρο 

3, παρ. στστ’). 

Ο έλεγχος της τήρησης των αρχών αυτών εμπίπτει κατεξοχήν στην αρμοδιότητα της Εθνικής Επιτροπής 

Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) (άρθρο 6, παρ. 1 του Ν. 3431/2006) με την επιφύλαξη 

του άρ. 4, όπου αναφέρεται ότι ο Υπουργός Μεταφορών και Επικοινωνιών είναι αρμόδιος 

για «Τη χάραξη της πολιτικής επί της ασφάλειας των δημόσιων δικτύων και υπηρεσιών ηλεκτρονικών 

επικοινωνιών από κοινού με τους κατά περίπτωση συναρμόδιους Υπουργούς, σύμφωνα με τις 

διατάξεις της εθνικής και κοινοτικής νομοθεσίας.» 

Περαιτέρω, σύμφωνα με το Παράρτημα ΙΧ του νόμου περί Ηλεκτρονικών Επικοινωνιών (Ν. 

3431/2006), η Γενική Άδεια παροχής δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών που εκδίδει 

η ΕΕΤΤ, δύναται να συνοδεύεται μεταξύ άλλων από: 

α) όρους που εξασφαλίζουν τη διατήρηση της ακεραιότητας των δημόσιων δικτύων επικοινωνιών» 

(άρθρο 13 Παραρτήματος ΙΧ), 

β) κανόνες ασφάλειας δημόσιων δικτύων ηλεκτρονικών επικοινωνιών από μη επιτρεπόμενη πρόσβαση» 

(άρθρο 14 Παραρτήματος), 

γ) προδιαγραφές χρήσης ώστε σε περίπτωση μείζονος καταστροφής να εξασφαλίζεται η επικοινωνία 

των υπηρεσιών έκτακτης ανάγκης με τις δημόσιες αρχές» (άρθρο 10 του Παραρτήματος ΙΧ). 

Τους όρους και κανόνες αυτούς, σύμφωνα με τον ίδιο νόμο (Ν.3431/2006), τους προσδιορίζει η 

ΕΕΤΤ κατά την έκδοση του Κανονισμού Γενικών Αδειών παροχής δικτύων και υπηρεσιών ηλεκτρονικών 

επικοινωνιών. 

Όσον αφορά στα Δημόσια Τηλεφωνικά Δίκτυα σε σταθερές θέσεις, σύμφωνα με το άρθρο 57, παρ. 4 

του N. 3431/2006: Προκειμένου οι επιχειρήσεις που λειτουργούν δημόσια τηλεφωνικά δίκτυα σε 

σταθερές θέσεις να εξασφαλίζουν την ακεραιότητα του δικτύου και σε περίπτωση καταστροφικής 

βλάβης του δικτύου ή σε περίπτωση ανωτέρας βίας, τη διαθεσιμότητα του δημόσιου τηλεφωνικού δικτύου 

και των δημόσιων τηλεφωνικών υπηρεσιών σε σταθερές θέσεις, υποχρεούνται να λαμβάνουν 

όλα τα απαιτούμενα μέτρα. Οι επιχειρήσεις που παρέχουν δημόσιες τηλεφωνικές υπηρεσίες σε στα- 



94



θερές θέσεις υποχρεούνται να λαμβάνουν όλα τα απαραίτητα μέτρα για να διασφαλίζουν αδιάκοπη 

πρόσβαση σε υπηρεσίες έκτακτης ανάγκης. Προς υλοποίηση των ανωτέρω, η ΕΕΤΤ έχει τη δυνατοτητα 

να ζητά από τις επιχειρήσεις την παροχή σχετικών πληροφοριών και δύναται κατόπιν δημόσιας 

διαβούλευσης με τους φορείς να εισηγηθεί την υιοθέτηση κατάλληλων μέτρων τα οποία κρίνονται α- 

ναγκαία. Με κοινή απόφαση των Υπουργών Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης 

και Μεταφορών και Επικοινωνιών, κατόπιν εισήγησης της ΕΕΤΤ, καθορίζονται οι ελάχιστες υποχρεώσεις, 

προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις. Αρμόδιος φορέας για τον έλεγχο 

των επιχειρήσεων σχετικά με την τήρηση των ανωτέρω ελάχιστων υποχρεώσεων είναι η ΕΕΤΤ) 

Σύμφωνα με τα παραπάνω, οι υποχρεώσεις της ΕΕΤΤ αφορούν, αν αυτό κρίνεται απαραίτητο, τον 

καθορισμό των ελάχιστων υποχρεώσεων προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις, 

ώστε να: 

1. εξασφαλίζεται η ακεραιότητα των δημόσιων τηλεφωνικών δικτύων σε σταθερές θέσεις 

2. εξασφαλίζεται η διαθεσιμότητα του δημόσιου τηλεφωνικού δικτύου και των δημόσιων τηλεφωνικών 

υπηρεσιών σε σταθερές θέσεις σε περίπτωση καταστροφικής βλάβης του δικτύου ή ανωτέρας 

βίας 

3. διασφαλίζεται η αδιάκοπη πρόσβαση σε υπηρεσίες έκτακτης ανάγκης μέσω των δημόσιων τηλεφωνικών 

υπηρεσιών σε σταθερές θέσεις 

4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και 

Τεχνολογίας (GRNET-CERT) 

Το GRNET-CERT λειτουργεί στο πλαίσιο του Εθνικού Δικτύου Έρευνας και Τεχνολογίας (ΕΔΕΤ) 

που διασυνδέει τα Ελληνικά Πανεπιστήμια, Τεχνικά Εκπαιδευτικά Ιδρύματα και τα περισσότερα Ελληνικά 

Ερευνητικά Κέντρα. Οι στόχοι του GRNET-CERT είναι: 

1. Να αποκρίνεται σε περιστατικά ασφαλείας στον ελληνικό δικτυακό χώρο (.gr) με τεχνική βοήθεια 

και πληροφορίες για την επίλυση κάθε κατάστασης. 

2. Να παρέχει στους χρήστες του ΕΔΕΤ πληροφόρηση πάνω σε θέματα ασφαλείας και έγκυρες απαντήσεις 

πάνω σε συγκεκριμένα προβλήματα. 

3. Να κρατά μία γραμμή επικοινωνίας με άλλες Ευρωπαϊκές και Διεθνείς ομάδες που ασχολούνται 

με την αντιμετώπιση περιστατικών ασφαλείας. 

4. Να βοηθήσει με την εκπαίδευση των χρηστών σε θέματα ασφαλείας υπολογιστών και διαφύλαξης 

του προσωπικού απορρήτου. 

H ομάδα είναι μέλος του EuroCERT, του συνδέσμου των Ευρωπαϊκών Ομάδων Αντιμετώπισης Περιστατικών 

Ασφαλείας 

Το GRNET-CERT απευθύνεται στους χρήστες του ΕΔΕΤ και σε όσους ενδιαφέρονται για την αντιμετώπιση 

περιστατικών ασφαλείας και τη χρήση σχετικών εργαλείων, τα οποία αναπτύσσονται ή/και 

υποστηρίζονται από GRNET-CERT με open source λογισμικό. 

4.3.5 European Network Information Security Agency (ENISA) 

Ο ENISA είναι ένας νέος Ευρωπαϊκός οργανισμός που θα λειτουργεί κυρίως ως κέντρο εμπειρογνωμοσύνης 

για θέματα ασφάλειας δικτύων και πληροφοριών στην Ευρωπαϊκή Ένωση, παρέχοντας συμβουλευτικές 

υπηρεσίες για θέματα όπως το ηλεκτρονικό έγκλημα και μεθοδολογίες αποτίμησης επικινδυνότητας 

και πολιτικής ασφαλείας. Επίσης, θα εκπονεί ειδικές μελέτες σε εξειδικευμένα θέματα 

ασφαλείας, τις οποίες θα αναθέτει σε εξωτερικούς φορείς με διαγωνισμούς. 

Η σύσταση του ENISΑ έγινε στις 15-3-2004 στο Ηράκλειο της Κρήτης και η περίοδος λειτουργίας 

του θα είναι πέντε χρόνια σύμφωνα με το καταστατικό του. Η διοικητική του δομή απαρτίζεται από 

ένα Γενικό Διευθυντή και από Διοικητικό Συμβούλιο στο οποίο θα υπάρχει ένας εκπρόσωπος από 

κάθε χώρα μέλος της Ευρωπαϊκής Επιτροπής. 



95



Ο Οργανισμός συνδράμει την Επιτροπή και τα κράτη μέλη και, ως εκ τούτου, συνεργάζεται με την 

επιχειρηματική κοινότητα, για να τα βοηθάει να ανταποκρίνονται στις απαιτήσεις της ασφάλειας δικτύων 

και πληροφοριών, εξασφαλίζοντας έτσι την ομαλή λειτουργία της εσωτερικής αγοράς, περιλαμβανομένων 

των προβλεπόμενων από την ισχύουσα και μελλοντική κοινοτική νομοθεσία, όπως 

την Oδηγία 2000/21/ΕΚ. 

Οι στόχοι και τα καθήκοντα του Οργανισμού δεν θίγουν τις αρμοδιότητες των κρατών μελών στον 

τομέα της ασφάλειας δικτύων και πληροφοριών, οι οποίες δεν εμπίπτουν στο πεδίο εφαρμογής της 

συνθήκης ΕΚ, όπως τις αρμοδιότητες που υπάγονται στους τίτλους V και VI της συνθήκης για την 

Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, δεν θίγουν δραστηριότητες που αφορούν τη δημόσια α- 

σφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης της οικονομικής ευημερίας 

του κράτους, οσάκις πρόκειται για θέματα κρατικής ασφάλειας), καθώς και τις κρατικές δραστηριότητες 

στον τομέα του ποινικού δικαίου. Γενικά, ο ENISA: 

• Είναι ένα Κέντρο Αριστείας για τα Κράτη-Μέλη της ΕΕ και για τα Ευρωπαϊκά Ινστιτούτα όσον 

αφορά την Ασφάλεια Δικτύων και Πληροφοριών, προσφέροντας εξειδικευμένες συμβουλές και 

συστάσεις σε θέματα ασφαλείας Δικτύων και Πληροφοριών. 

• Λειτουργεί ως ένα κέντρο ανταλαγής και διάχυσης πληροφοριών για βέλτιστες πρακτικές. 

• Προωθεί επικοινωνία και συνεργασίας μεταξύ των Ευρωπαϊκών Ινστιτούτων, τα Κράτη-Μέλη 

και τον ιδιωτικό τομέα (επιχειρήσεις και βιομηχανίες). 

Έχει ως αφετηρία τις εθνικές και κοινοτικές προσπάθειες και, εκτελεί τα καθήκοντά του σε στενή 

συνεργασία με τα κράτη μέλη και να είναι ανοικτός στις επαφές με τον βιομηχανικό κλάδο και άλλους 

οικείους ενδιαφερόμενους. Δεδομένου ότι τα ηλεκτρονικά δίκτυα είναι, σε μεγάλο βαθμό, ιδιωτικά, 

βασίζεται στη συμβολή του ιδιωτικού τομέα και στη συνεργασία με αυτόν. 

Ο ENISA κατά την άσκηση των καθηκόντων του, δεν θα πρέπει να παρεμβαίνει στις αρμοδιότητες 

και να προλαμβάνει, να εμποδίζει ή να επικαλύπτει τις σχετικές αρμοδιότητες και τα καθήκοντα που 

έχουν ανατεθεί: 

• στις εθνικές ρυθμιστικές αρχές, όπως αυτές ορίζονται στις οδηγίες που αφορούν τα δίκτυα και τις 

υπηρεσίες ηλεκτρονικών επικοινωνιών, καθώς και στην ομάδα των ευρωπαϊκών ρυθμιστικών αρχών 

για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, που έχει συσταθεί με την απόφαση 

2002/627/ΕΚ της Επιτροπής(13) και στην επιτροπή επικοινωνιών που αναφέρεται στην οδηγία 

2002/21/ΕΚ, 

• στους ευρωπαϊκούς οργανισμούς τυποποίησης, τους εθνικούς οργανισμούς τυποποίησης και στη 

μόνιμη επιτροπή που συστάθηκε με την οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του 

Συμβουλίου, της 22ας Ιουνίου 1988, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον 

τομέα των τεχνικών προτύπων και προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της 

κοινωνίας των πληροφοριών(14), 

• στις εποπτικές αρχές των κρατών μελών που αφορούν την προστασία των ατόμων όσον αφορά 

την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη διακίνηση των δεδομένων 

αυτών. 

Ο ENISA δημιουργήθηκε με στόχο να βελτιώσει την δυνατότητα της ΕΕ, των ΚΜ και του επιχειρηματικού 

κόσμου για την πρόληψη, αντιμετώπιση και απόκριση προβλημάτων ασφάλειας δικτύων και 

πληροφοριών (βλ. Πίνακας 4). 



96



Πίνακας 4: Στόχοι ENISA 

Υπό αυτή την έννοια, οι δραστηριότητας του Οργανισμού σχετίζονται με την παροχή συμβουλών και 

συστάσεων, με την ανάλυση δεδομένων, καθώς και υποστήριξη για την ενίσχυση της ενημέρωσης 

και συνεργασίας των σωμάτων της ΕΕ και των ΚΜ. Βάσει εθνικών και κοινοτικών προσπαθειών, ο 

Οργανισμός αποτελεί ένα Κέντρο Αριστείας στην περιοχή της Ασφάλειας των Δικτύων και των Πληροφοριών. 

Μεταξύ άλλων, ο Οργανισμός προσφέρει βοήθεια στην Κομμισιόν και στα ΚΜ κατά το διάλογό τους 

με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και λογισμικού. Ο Οργανισμός, επίσης, 

ακολουθεί την ανάπτυξη προτύπων, προωθεί ενέργειες για διαχείριση ρίσκου από τα ΚΜ, καθώς 

και για διαδικασίες διαχείρισης ρίσκου, και παράγει μελέτες για τα θέματα αυτά σε δημόσιους και 

ιδιωτικούς οργανισμούς. 

Σχήμα 17: Αρμοδιότητες ENISA 

Οι βασικές αρμοδιότητες του Οργανισμού είναι οι ακόλουθες (βλ. Σχήμα 17): 

• Παροχή συμβουλών και υποστήριξης στην ΕΕ και στα ΚΜ για την ασφάλεια πληροφοριών και 

κατά το διάλογό τους με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και 

λογισμικού. 

• Συλλογή και ανάλυση δεδομένων σχετικά με περιστατικά ασφαλείας στην Ευρώπη, καθώς και 

σχετικά με μελλοντικά ρίσκα. 

• Προώθηση μεθόδων αποτίμησης και διαχείρισης ρίσκου προκειμένου να βελτιώσει τη δυνατότητα 

αντιμετώπισης απειλών σε θέματα ασφάλειας πληροφοριών. 



97



• Ενίσχυση Επιπέδου Ενημέρωσης και συνεργασίας μεταξύ των διαφορετικών εμπλεκόμενων 

«παικτών» στον τομέα της ασφάλειας, ειδικότερα μέσω δημιουργίας Συμπράξεων Δημόσιου - Ι- 

διωτικού Τομέα (ΣΔΙΤ) στον τομέα αυτό. 

Πιο αναλυτικά, οι δραστηριότητες του ENISA είναι οι ακόλουθες: 

• συλλογή κατάλληλων πληροφοριών για την ανάλυση των υφιστάμενων, μελλοντικών και άμεσων 

κινδύνων, και ιδίως στο ευρωπαϊκό επίπεδο, των κινδύνων οι οποίοι θα μπορούσαν να έχουν 

επιπτώσεις στην ανθεκτικότητα και τη διαθεσιμότητα των δικτύων ηλεκτρονικών επικοινωνιών, 

καθώς και στην αυθεντικότητα, ακεραιότητα και εμπιστευτικότητα των πληροφοριών, οι οποίες 

είναι προσβάσιμες ή μεταφέρονται μέσω των εν λόγω δικτύων, και διαβίβαση των αποτελεσμάτων 

της ανάλυσης στα κράτη μέλη και την Επιτροπή. 

• παροχή συμβουλών και, όταν του ζητείται συνδρομής στο Ευρωπαϊκό Κοινοβούλιο, σε ευρωπαϊκούς 

φορείς ή σε αρμόδιους εθνικούς φορείς που ορίζουν τα κράτη μέλη, στο πλαίσιο των στοχων 

του. 

• ενίσχυση της συνεργασίας μεταξύ των διαφόρων παραγόντων που δραστηριοποιούνται στον τομέα 

της ασφάλειας δικτύων και πληροφοριών, μεταξύ άλλων με τη διοργάνωση τακτικών διαβουλεύσεων 

με τη βιομηχανία, τα πανεπιστήμια και άλλους ενδιαφερόμενους κλάδους, καθώς 

και με τη δημιουργία δικτύων επαφών για κοινοτικούς φορείς, φορείς του δημόσιου τομέα που ο- 

ρίζουν τα κράτη μέλη, φορείς του ιδιωτικού τομέα και οργανώσεις καταναλωτών. 

• διευκόλυνση της συνεργασίας μεταξύ της Επιτροπής και των κρατών μελών κατά την ανάπτυξη 

κοινών μεθοδολογιών πρόληψης, αντιμετώπισης και ανταπόκρισης σε ζητήματα ασφάλειας δικτύων 

και πληροφοριών. 

• συμβολή στην ευαισθητοποίηση και στη διαθεσιμότητα έγκαιρης, αντικειμενικής και συγκεντρωτικής 

πληροφόρησης όσον αφορά τα θέματα ασφάλειας δικτύων και πληροφοριών για όλους τους 

χρήστες, ιδίως μέσω της προώθησης των ανταλλαγών υπάρχουσας βέλτιστης πρακτικής, μεταξύ 

άλλων όσον αφορά τις μεθόδους προειδοποίησης των χρηστών, καθώς και επιδίωξη της συνέργειας 

μεταξύ πρωτοβουλιών του δημόσιου και του ιδιωτικού τομέα. 

• παροχή συνδρομής στην Επιτροπή και στα κράτη μέλη κατά τη διεξαγωγή του διαλόγου τους με 

τον κλάδο για την αντιμετώπιση προβλημάτων ασφάλειας όσον αφορά τα προϊόντα υλικού και 

λογισμικού. 

• παρακολούθηση της εξέλιξης των προτύπων για προϊόντα και υπηρεσίες που αφορούν την ασφάλεια 

των δικτύων και των πληροφοριών. 

• παροχή συμβουλών στην Επιτροπή σχετικά με την έρευνα στον τομέα της ασφάλειας των δικτύων 

και των πληροφοριών, καθώς επίσης και της αποτελεσματικής χρήσης των τεχνολογιών πρόληψης 

κινδύνων. 

• προώθηση των δραστηριοτήτων εκτίμησης κινδύνων, διαλειτουργικών λύσεων διαχείρισης κινδύνων 

και μελετών σχετικά με λύσεις διαχείρισης της πρόληψης εντός των οργανισμών του δημόσιου 

και του ιδιωτικού τομέα. 

• συμβολή στις κοινοτικές προσπάθειες συνεργασίας με τρίτες χώρες και, κατά περίπτωση, με διεθνείς 

οργανισμούς, με στόχο την προώθηση κοινής σφαιρικής προσέγγισης σε θέματα ασφάλειας 

δικτύων και πληροφοριών, συμβάλλοντας έτσι στη διάπλαση μιας αντίληψης για την ασφάλεια 

δικτύων και πληροφοριών. 

• ανεξάρτητη έκφραση των συμπερασμάτων, προσανατολισμών και συμβουλών του σχετικά με θέματα 

που άπτονται της εμβέλειας και των στόχων του. 

4.4 Ελληνικοί Φορείς/Ιστόχωροι ενημέρωσης 

Οι παρακάτω φορείς/ιστόχωροι ενημερώνουν τους πολίτες στα θέματα ασφάλειας. 



98



4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ) 

Ο ΕΦΤΑ δημιουργήθηκε από ιδιωτική πρωτοβουλία στα πρότυπα αντίστοιχων εθνικών οργανισμών 

άλλων χωρών, με σκοπό: 

1. Την ενημέρωση του πολίτη με στόχο την προστασία του από την τηλεπικοινωνιακή απάτη και το 

ηλεκτρονικό έγκλημα. 

2. Την προστασία των μελών του από το γενικότερο ηλεκτρονικό έγκλημα. 

3. Την ανταλλαγή πληροφοριών για τις μεθόδους με τις οποίες διενεργούνται τηλεπικοινωνιακές 

απάτες και την από κοινού λήψη μέτρων. 

4. Την ανταλλαγή πληροφοριών σχετικά με επιτήδειους, οι οποίοι χρησιμοποιώντας διάφορες μεθόδους 

χρεώνουν το καταναλωτικό κοινό και τις συνεργαζόμενες εταιρίες με τεράστια χρηματικά 

ποσά, αφού ληφθούν υπόψη οι περιορισμοί που θέτουν οι Νόμοι 2472/97 και 2774/99 για την 

προστασία δεδομένων προσωπικού χαρακτήρα. 

Μέλη του ΕΦΤΑ είναι οι υπηρεσίες πρόληψης και αντιμετώπισης της Τηλεπικοινωνιακής Απάτης 

και του Ηλεκτρονικού Εγκλήματος, εταιριών όπως COSMOTE, OTE, VODAFONE και WIND. 

Ο ΕΦΤΑ συνεργάζεται και με άλλους σχετικούς εθνικούς, Ευρωπαϊκούς και διεθνείς φορείς που α- 

σχολούνται με την καταπολέμηση της τηλεπικοινωνιακής απάτης και του ηλεκτρονικού εγκλήματος, 

όπως οι εξής: Διεθνής Ένωση Τηλεπικοινωνιών (ITU), FIINA (Forum for International Irregular Network 

Access), GSM Fraud Forum, ομάδα Fraud Control του ETNO (European Telecom Network O- 

perators Αssociation), European Institute for Research και Strategic Studies in Telecommunications, 

ΤUFF - Telecom UK Fraud Forum (Αγγλία), DFF - Deutsches Fraud Forum (Γερμανία), κλπ. 

Οι πολίτες και οι επιχειρήσεις μπορούν να έρθουν σε επαφή με τον ΕΦΤΑ για να ενημερωθούν ή να 

ζητήσουν υποστήριξη σε θέματα τηλεπικοινωνιακής απάτης. Παρά ταύτα, ο ΕΦΤΑ δεν έχει ελεγκτικό 

χαρακτήρα και ως εκ τούτου δεν μπορεί να επιβάλλει μέτρα ή κυρώσεις, παρά μόνο να προλαμβάνει 

και να καταγγέλλει τις απάτες. Για το λόγο αυτό είναι απαραίτητη η συνεργασία με άλλους εποπτικούς 

φορείς και ιδιαίτερα με την ΑΔΑΕ και την ΕΕΤΤ που ρυθμίζουν σχετικά θέματα στον τηλεπικοινωνιακό 

τομέα της χώρας. 

4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας 

Ο Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας είναι μη κερδοσκοπικό σωματείο 

και ιδρύθηκε το Μάρτιο του 1995. Εκπροσωπεί 400 επιχειρήσεις που αντιπροσωπεύουν περίπου 

το 95% του συνολικού κύκλου εργασιών της εγχώριας αγοράς Τεχνολογιών Πληροφορικής. 

Σκοποί του ΣΕΠΕ είναι η διαφύλαξη και η προώθηση των κοινών συμφερόντων των επιχειρήσεων - 

μελών του και γενικότερα του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών. 

Ειδικότεροι σκοποί του Συνδέσμου είναι: 

• Να προβαίνει σε οποιαδήποτε ενέργεια που συμβάλει στη σύσφιξη των σχέσεων των οργανισμών 

του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών με την Πολιτεία και άλλους φορείς 

της δημόσιας ζωής με σκοπό τη διάδοση, ανάπτυξη και την προώθηση των Τεχνολογιών Πληροφορικής 

και Επικοινωνιώνστην Ελλάδα. 

• Να συμβάλλει στην ποιοτική αναβάθμιση των προϊόντων και υπηρεσιών Τεχνολογιών Πληροφορικής 

και Επικοινωνιών. 

• Να συνεργάζεται με τους αρμόδιους φορείς για τη διαμόρφωση Εθνικής Στρατηγικής για την Ψηφιακή 

Τεχνολογία. 

• Να σχεδιάζει και να υποστηρίζει προγράμματα ειδικά για τις ανάγκες των Μικρομεσαίων Επιχειρήσεων 

για την αύξηση της ανταγωνιστικότητας τους στην Ελληνική αγορά. 

• Να συμβάλλει στην έρευνα για την ανάπτυξη σε όλους τους τομείς των Τεχνολογιών Πληροφορικής 

και Επικοινωνιών. 



99



• Να αποτελεί συντονιστικό όργανο και χώρο ανταλλαγής απόψεων ανάμεσα στα μέλη του και 

ταυτόχρονα αντιπροσωπευτικό συλλογικό όργανο των Ελληνικών Επιχειρήσεων Τεχνολογιών 

Πληροφορικής και Επικοινωνιών για την καλύτερη προβολή των θέσεων τους προς τους κρατικούς 

φορείς, τους θεσμικούς παράγοντες, την Ευρωπαϊκή Ένωση, τα ΜΜΕ, το ευρύ κοινό, κ.ά. 

• Να προωθήσει, να ενθαρρύνει, να ενισχύει και να προστατεύει τη σύσταση και τη λειτουργία των 

Επιχειρήσεων του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών. 

• Να ενθαρρύνει τη συνεργασία μεταξύ των Πανεπιστημιακών και Τεχνολογικών Ιδρυμάτων και 

φορέων του κλάδου. 

4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus 

Ο Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus και η εκστρατεία επαγρύπνησης και 

ενημέρωσης για ασφαλέστερο Διαδίκτυο Safer Internet υλοποιούνται υπό την αιγίδα της Ευρωπαϊκής 

Επιτροπής και του προγράμματος πλαισίου Safer Internet Plus. Στόχος της εκστρατείας Safer Internet 

είναι να επαγρυπνήσει όλους τους Έλληνες και να τους ενημερώσει για τους τρόπους με τους οποίους 

μπορούν να προστατευθούν αλλά και να προστατεύσουν αποτελεσματικά τα παιδιά τους από τους 

κινδύνους που εγκυμονούν στις νέες διαδραστικές τεχνολογίες, όπως είναι το διαδίκτυο ή το κινητό 

τηλέφωνο. Αυτό επιτυγχάνεται με την υλοποίηση πλειάδας πολυμορφικών εκδηλώσεων και δράσεων 

που δρομολογούνται σε διετή βάση. Οι δράσεις εναρμονίζονται με τα αποτελέσματα των ερευνών 

του Ευρωβαρόμετρου όπως και Εθνικών ερευνών που αφορούν το διαδίκτυο και την κινητή τηλεφωνία, 

τη γνώση ή άγνοια των κινδύνων και τη σωστή χρήση του, έτσι ώστε οι ενέργειες που υλοποιούνται 

να έχουν το μέγιστο αποτέλεσμα. Υπάρχει συνεργασία με 25 Εθνικούς Κόμβους, όπου ανταλλάσσουν 

απόψεις, εμπειρίες, βέλτιστες πρακτικές και πληροφοριακό υλικό. Η συνεργασία των Εθνικών 

κόμβων οργανώνεται μέσω του Insafe (Internet Safety Awareness for Europe). 

4.4.4 SafeLine 

Ο πρωταρχικός ρόλος της SafeLine είναι να παρέχει ένα σημείο επικοινωνίας για τους χρήστες που 

επιθυμούν την ποινική δίωξη και την αφαίρεση από το Ίντερνετ παράνομου ή επιβλαβούς περιεχομενου. 

Η SafeLine δέχεται καταγγελίες για περιεχόμενο που συναντάται στο Internet και το οποίο θεωρείται 

παράνομο ή επιβλαβές. Τα μέλη της SafeLine θα εξετάσουν την καταγγελία σας και θα κάνουν 

ενέργειες για την αναφορά της καταγγελίας στις αρχές για περαιτέρω επεξεργασία. Ό χρήστης που 

κατέθεσε μια καταγγελία θα μπορεί να πληροφορηθεί για το αποτέλεσμα της, μόλις αυτό είναι επιτρεπτό. 

Αν κάποιος χρήστης το επιθυμεί μπορεί να κρατήσει την ανωνυμία του. Τα στοιχεία των 

χρηστών που καταθέτουν καταγγελίες είναι εμπιστευτικά. 

Η SafeLine φιλοδοξεί να αποτελέσει σημείο αναφοράς για χρήστες που επιθυμούν να προστατέψουν 

τους εαυτούς τους καθώς και τις οικογένειες του από παράνομο ή επιβλαβές περιεχόμενο του Internet. 

Γι αυτό τον σκοπό, η ιστοσελίδα της SafeLine περιλαμβάνει συμβουλές για γονείς και παιδιά, 

καθώς και μια λίστα από συνήθεις ερωτήσεις με σκοπό να πληροφορήσει με απλό τρόπο τον χρήστη 

για διαδικαστικά, νομικά καθώς και τεχνολογικά θέματα που σχετίζονται με την ασφάλεια στο Internet. 

Τεχνολογικά θέματα περιλαμβάνουν την ύπαρξη φίλτρων λογισμικού που φράζουν σελίδες του 

Internet με επιβλαβές περιεχόμενο. 

4.4.5 DART (Digital Awareness and Response to Threats) 

Στο πλαίσιο της Ψηφιακής Ελλάδας έχει δημιουργηθεί η «Ομάδα Δράσης για την Ψηφιακή Ασφάλεια», 

η οποία ασχολείται ειδικά με την Ψηφιακή Ασφάλεια, και έχει ως στόχο την ενίσχυση της εμπιστοσύνης 

του κοινού των χρηστών στα νέα μέσα. Η ομάδα έχει την ονομασία DART (Digital A- 

wareness and Response to Threats). 

Άμεσος στόχος της ομάδας είναι η ενημέρωση των πολιτών, η πρόληψη αλλά και η αντιμετώπιση 

κινδύνων που σχετίζονται με τις νέες τεχνολογίες πληροφορικής και ηλεκτρονικών επικοινωνιών. Η 

προσπάθεια έχει στόχο να ενώσει τις δυνάμεις των αρμόδιων φορέων, να συντονίσει τα μηνύματα, τις 

προσλαμβάνουσες καθώς και να ενδυναμώσει την εμπιστοσύνη των πολιτών στο γρήγορο Internet. H 

εξοικείωση των πολιτών με τις νέες τεχνολογίες και η ενίσχυση της εμπιστοσύνης στις δυνατότητές 



100



τους, θα απελευθερώσει τις υγιείς δυνάμεις και θα δώσει ώθηση στην Ψηφιακή Ελλάδα. Ο ιστοχώρος 

αυτός έχει δημιουργηθεί με σκοπό να παρέχει οδηγίες και συμβουλές σχετικές με την σωστή, ασφαλή 

και ηθική χρήση του Διαδικτύου και των άλλων διαδραστικών τεχνολογιών. Μέσα από τον ιστοχώρο 

παρουσιάζονται τα θέματα που αυτή τη στιγμή απασχολούν όλον τον κόσμο σχετικά με παράνομο 

και επιβλαβές περιεχόμενο στους εικονικούς κόσμους, καθώς και τρόποι πρόληψης και προστασίας. 

Ο χρήστης δηλαδή μπορεί να ενημερώνεται για τον τρόπο που μπορεί να αντιμετωπίσει τυχόν κινδύνους 

μέσα από το Διαδίκτυο. 

4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α) 

Το KE.ME.A. ιδρύθηκε τον Σεπτέμβριο του 2005 με το Νόμο 3387/2005 (ΦΕΚ 224,Α΄) και αποτελεί 

τον Επιστημονικό, Ερευνητικό και Συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα 

της Πολιτικής Ασφάλειας. 

• Αποτελεί νομικό πρόσωπο ιδιωτικού δικαίου και εποπτεύεται από τον Υπουργό Εσωτερικών. 

• Λειτουργεί ως συμβουλευτικός φορέας του Υπουργείου Εσωτερικών στον τομέα ασφάλειας. Η 

αποστολή του είναι να διεξάγει θεωρητικές και εφαρμοσμένες έρευνες, να εκπονεί μελέτες και να 

παρέχει στρατηγική ανάλυση, αξιολόγηση και εκτίμηση σε θέματα ασφάλειας. 

• Υποστηρίζει το Υπουργείο Εσωτερικών και τους Φορείς και Υπηρεσίες που αυτό εποπτεύει, 

παρέχοντας υποστήριξη στη χάραξη εθνικής πολιτικής ασφάλειας. 

• Παρέχει ανάλυση σε θέματα εσωτερικής ασφάλειας, πιθανών απειλών ασφαλείας, σχετικών 

διεθνών εξελίξεων καθώς και στο σχεδιασμό έκτακτης ανάγκης. 

• Συνιστά τον κύριο ερευνητικό φορέα και εθνικό συντονιστή υπό την επίβλεψη του Υπουργείου 

Εσωτερικών, αναφορικά με προτάσεις διεθνούς συνεργασίας σε θέματα ασφάλειας. 

• Διοικητικά όργανα του ΚΕ.ΜΕ.Α. είναι: 

• Το Διοικητικό Συμβούλιο, ο Διευθυντής και ο Αναπληρωτής Διευθυντής, υποστηριζόμενοι από 

το Επιστημονικό Συμβούλιο. 

• Το ΚΕ.ΜΕ.Α. διαρθρώνεται στους τομείς: 

• Μελετών-Ερευνών και Τεκμηρίωσης. 

• Αντεγκληματικής Πολιτικής. 

• Διεθνούς Συνεργασίας και Επικοινωνίας. 

• Τεχνολογίας και Συστημάτων. 

• Στελεχώνεται από προσωπικό προερχόμενο από Φορείς και Υπηρεσίες του Υπουργείου Εσωτερικών 

και του λοιπού Δημόσιου Τομέα, καθώς και εξειδικευμένους ερευνητές και ειδικούς επιστημονες. 

4.4.6.1 Αποστολή 

Το KE.ME.A. ως επιστημονικό και ανεξάρτητο ερευνητικό και συμβουλευτικό Κέντρο, έχει αποστολή: 

• Τη διεξαγωγή ερευνητικών προγραμμάτων και μελετών για θέματα εσωτερικής ασφάλειας που 

αφορούν το Υπουργείο Εσωτερικών και τις Υπηρεσίες που υπάγονται σε αυτό, καθώς και άλλους 

Φορείς του εσωτερικού. 

• Την εκπόνηση και εκτέλεση ερευνητικών προγραμμάτων για λογαριασμό ή σε συνεργασία με 

αντίστοιχους Φορείς της Ε.Ε. και άλλων Διεθνών Οργανισμών. 

• Την ανάπτυξη συνεργασιών σε εθνικό και διεθνές επίπεδο με Οργανισμούς και Υπηρεσίες, Ερευνητικά 

και Εκπαιδευτικά Κέντρα και Ιδρύματα, κοινωνικούς, επιστημονικούς και παραγωγικούς 

Φορείς, δημόσιους και ιδιωτικούς, καθώς και με μη Κυβερνητικές Οργανώσεις. 



101



• Την εκπόνηση μελετών σχετικά με την εγκληματικότητα στην ελληνική Επικράτεια και τις ποιοτικές 

και ποσοτικές μεταβολές της καθώς και τις μεθόδους και πρακτικές άσκησης αντεγκληματικής 

πολιτικής. 

• Την κατάθεση προτάσεων για την εναρμόνιση των μέτρων πρόληψης και καταστολής του εγκλήματος 

με τις Συνταγματικές Αρχές, τα ατομικά και πολιτικά δικαιώματα, τη νομιμότητα και το 

σεβασμό της αξίας του ανθρώπου. 

• Την παρακολούθηση και μελέτη των τεχνολογικών εξελίξεων, των συστημάτων ασφαλείας και 

αξιολόγηση των νέων τεχνολογικών επιτευγμάτων. 

• Την ανταλλαγή τεχνογνωσίας διεθνώς τόσο σε διμερές όσο και σε πολυμερές επίπεδο. 

• Την υποστήριξη διασυνοριακών συνεργασιών. 

• Την οργάνωση συνεδρίων και εκπαιδευτικών σεμιναρίων. 

• Τη δημοσίευση ερευνητικών και επιστημονικών πορισμάτων και έργων. 

Tο ΚΕ.ΜΕ.Α συμμετέχει σε διάφορα φόρα, επιτροπές και ομάδες εργασίας της Ευρωπαϊκής Επιτροπής 

παρακολουθώντας τις εξελίξεις και τα δρώμενα σχετικά με τη Ευρωπαϊκή Πολιτική Ασφάλειας 

καθώς και την εξέλιξη της Έρευνας και Τεχνολογίας στο πλαίσιο των Ευρωπαϊκών Ερευνητικών 

Προγραμμάτων: 

• Στον «Ευρωπαϊκό Οργανισμό για την Ασφάλεια» - European Organization for Security- EOS. 

• Στο «Ευρωπαϊκό Φόρουμ για την Έρευνα και την Καινοτομία στον Τομέα της Ασφάλειας» – European 

Security Research and Innovation Forum - ESRIF. 

Το ΚΕΜΕΑ έχει συμμετάσχει το έτος 2007 και χρηματοδοτηθεί για την υλοποίηση Ευρωπαϊκών Ε- 

ρευνητικών Προγραμμάτων στο πλαίσιο των χρηματοδοτούμενων ερευνητικών προγραμμάτων στο 

τομέα της Ασφάλειας του 7ο Πλαισίου της Ευρωπαϊκής Ένωσης (7 th Framework Program). 

4.4.7 Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιοανατολικής 

Ευρώπης (ΙΝΑ) 

Το Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιοανατολικής Ευρώπης 

(ΙΝΑ) δραστηριοποιείται στους χώρους της έρευνας για θέματα της Κοινωνίας της Πληροφορίας, 

της μεταφοράς και διάχυσης της σχετικής τεχνογνωσίας, αλλά και της αξιοποίησης καινοτόμων 

εργαλείων στην αγορά των Τηλεπικοινωνιών και της Πληροφορικής. Το ΙΝΑ αποτελεί έναν επιστημονικό 

πυρήνα που μελετά, αναλύει και προσεγγίζει επιστημονικά τις εξελίξεις στην αγορά των τηλεπικοινωνιών 

των χωρών της Νοτιοανατολικής Ευρώπης, αλλά και της ευρύτερης περιοχής, υποστηρίζοντας 

το έργο των εμπλεκόμενων κρατικών και ιδιωτικών φορέων στη δημιουργία υποδομών, αλλά 

και ανθρώπινων ηλεκτρονικών δικτύων αριστείας στις τηλεπικοινωνίες και στην πληροφορική. 

Το ΙΝΑ συστάθηκε το Δεκέμβριο του 2000 με πρωτοβουλία του Συνδέσμου Βιομηχάνων Βορείου 

Ελλάδας (ΣΒΒΕ) και με τη συμμετοχή σημαντικών εταιρειών Tηλεπικοινωνιών και Πληροφορικής 

της Νοτιοανατολικής Ευρώπης. Η αιτιολογική βάση δημιουργίας του ΙΝΑ αφορά την ανάγκη προσέγγισης 

της αγοράς Τηλεπικοινωνιών και Πληροφορικής των χωρών της Νοτιοανατολικής Ευρώπης 

ως μια ενιαία αγορά, η οποία χαρακτηρίζεται από ανομοιογένεια, ανισότητες και διαφοροποίηση θεσμικών 

πλαισίων. Η ίδρυσή του αποτελεί σημαντικό επίτευγμα για την Ελλάδα, ιδιαίτερα εάν ληφθεί 

υπόψη ότι είναι το μοναδικό Ινστιτούτο ιδιωτικής πρωτοβουλίας διεθνούς εμβέλειας στην Ελλάδα. 

Το ΙΝΑ δραστηριοποιείται στα πλαίσια περιφερειακών πρωτοβουλιών όπως το Regioanl Cooperation 

Council (που διαδέχθηκε το Σύμφωνο Σταθερότητας για τη ΝΑ Ευρώπη και τη Διαδικασία Συνεργασίας 

Χωρών Νοτιοανατολικής Ευρώπης – SEECP) και την Πρωτοβουλία Συνεργασίας ΝΑ Ευρώπης 

(SECI), αλλά και διεθνών οργανισμών όπως η Διεθνής Ένωση Τηλεπικοινωνιών (ITU). Ο ρόλος του 

ΙΝΑ έχει κατεξοχήν χαρακτηριστικά εξυπηρέτησης της περιφερειακής ανάπτυξης και συνεργασίας, 

υπό την έννοια ότι υποστηρίζει έμπρακτα την εναρμόνιση των πολιτικών και των δράσεων στην ευρύτερη 

περιοχή της Νοτιοανατολικής Ευρώπης, ώστε να συγκλίνουν με τα Ευρωπαϊκά δεδομένα στις 

Τηλεπικοινωνίες και στην Πληροφορική. Απώτερος στόχος της προσπάθειας αυτής είναι η ταχύτερη 



102



οικονομική και κοινωνική ανάπτυξη των χωρών της περιοχής προς όφελος της σταθερότητας, της 

ευημερίας και της ειρήνης στα Βαλκάνια, μέσω της αξιοποίησης των ΤΠΕ, την ανάπτυξη της Κοινωνίας 

της Πληροφορίας και του ξεπεράσματος του ψηφιακού χάσματος. 

Προς αυτή την κατεύθυνση, το ΙΝΑ συνεργάζεται στενά με το Υπουργείο Εξωτερικών, το Υπουργείο 

Μεταφορών και Επικοινωνιών και την Εθνική Επιτροπή Τηλεπικοικωνιών και Ταχυδρομείων (ΕΕ- 

ΤΤ). Επιπρόσθετα, το ΙΝΑ έχει δημιουργήσει ένα ανθρώπινο δίκτυο από εκπροσώπους φορέων Ρυθμιστικών 

Αρχών, Υπουργείων και Τηλεπικοινωνιακών Οργανισμών στη Νοτιοανατολική Ευρώπη, το 

οποίο συναντάται περιοδικά για ανταλλαγή απόψεων και χάραξη κοινής στρατηγικής. Οι δραστηριότητες 

του ΙΝΑ περιλαμβάνουν την έρευνα και ανάλυση των τεχνολογιών που συνθέτουν την αγορά 

Τηλεπικοινωνιών και Πληροφορικής, την αποτύπωση της υφιστάμενης τηλεπικοινωνιακής υποδομής, 

τη διερεύνηση της ζήτησης υπηρεσιών ΤΠΕ και τον εντοπισμό επενδυτικών ευκαιριών στον κλάδο 

Τηλεπικοινωνιών/Πληροφορικής στην ευρύτερη γεωγραφική περιοχή που περιβάλλει την Ελλάδα. 

Το ΙΝΑ διαθέτει πλέον μεγάλη εμπειρία στη διοργάνωση συναντήσεων εργασίας, προγραμμάτων κατάρτισης, 

επιστημονικών ημερίδων, συνεδρίων σε θεματικές περιοχές του κλάδου Τηλεπικοινωνιών 

και Πληροφορικής. 

Στρατηγικός στόχος του ΙΝΑ είναι η υποστήριξη της πολιτκής μεταρρύθμισης και της διαδικασίας 

χάραξης νέας στρατηγικήε στον τομέα ΤΠΕ των χωρών της περιοχής και έχει συνεργαστεί προς αυτή 

την κατεύθυνση με διεθνείς οργανισμούς, όπως το UNDP και η Ευρωπαϊκή Επιτροπή. Ενδεικτικά α- 

ναφέρεται ότι το ΙΝΑ συνέθεσε ένα πλήρες σύνολο προτάσεων/συστάσεων στον Τομέα της Έρευνας 

και Τεχνολογικής Ανάπτυξης σε ΤΠΕ για έντεκα (11) χώρες της Ανατολικής Ευρώπης στο πλαίσιο 

του έργου GREAT-IST στο πεδίο της διεθνούς συνεργασίας. Για τον ίδιο σκοπό το ΙΝΑ συμμετείχε 

ως ιδρυτικό μέλος στη δημιουργία του Περιφερειακού Κέντρου Ανάπτυξης ηλεκτρονικής διακυβέρνησης 

(Center for eGovernance Development – CeGD), με πρωτοβουλία του Συμφώνου Σταθερότητας 

για τη ΝΑΕ, του οποίου το συντονιστικό γραφείο έχει έδρα τη Σλοβενία. 

Τέλος, τα τελευταία χρόνια το ΙΝΑ έχει εστιάσει την προσοχή του στον τομέα της ηλεκτρονικής α- 

σφάλειας, με σταθερή πεποίθηση ότι η προώθησή της είναι κρίσιμη για την εγκαθίδρυση της ψηφιακής 

εποχής σε παγκόσμιο επίπεδο. Το Νοέμβριο του 2008 διοργανώνει ετήσιο συνέδριο για την ηλεκτρονική 

ασφάλεια (4 th Electronic Security Forum) στη Θεσσαλονίκη. Το ΙΝΑ έχει προετοιμάσει την 

εκκίνηση μας νέας πρωτοβουλίας που αποσκοπεί στη δημιουργία ενός «Περιφερειακού δικτύου ηλεκτρονικής 

ασφάλειας για τη ΝΑ Ευρώπη» που θα αναπτύξει αποκεντρωμένες δραστηριότητες μεσω 

εθνικών κέντρων στις χώρες της περιοχής, οι οποίοι θα υποστηρίζονται από τους τοπικούς κόμβους 

της Ακαδημίας ΙΝΑ, σε μια προσπάθεια να αμβλυνθούν οι κίνδυνοι που οφείλονται στην ύπαρξη 

μιας ‘χαλαρής’ αντίληψης για την ηλεκτρονική ασφάλεια στην περιοχή. Το δίκτυο στοχεύει και επιδικώκει 

την προώθηση καλών πρακτικών, τεχνογνωσίας και πολιτικής σε ζητήματα όπως η ανάπτυξη 

ομάδων αντιμετώπισης ηλεκτρονικών απειλών (CERT), η ενημέρωση του κοινού για ασφαλή πλοήγηση 

στο Διαδίκτυο και ασφαλείς ηλεκτρονικές συναλλαγές, η εξάλειψη παράνομου περιεχομενου 

και η προστασία των δικαιωμάτων της πνευματικής ιδιοκτησίας. 

4.5 Συγκεντρωτική παρουσίαση φορέων 

Ο Πίνακας 6 παρουσιάζει συγκεντρωτικά και συγκριτικά τους φορείς που αναφέρθηκαν παραπάνω 

ως προς τους ρόλους τους και τις παρεχόμενες υπηρεσίες στον τομέα της ασφάλειας πληροφοριακών 

συστημάτων. Σημειώνεται ότι το αντικείμενο και ο ρόλος των φορέων στον Πίνακας 6 αναφέρεται 

ως προς την ασφάλεια πληροφοριών και όχι ως προς τις συνολικές τους αρμοδιότητες που ενδέχεται 

να είναι πολλαπλές. 

Όπως φαίνεται στον δεύτερο πινακα (Πίνακας 5), ρυθμιστικοί/ελεγκτικοί/συμβουλευτικοί φορείς α- 

σφάλειας είναι οι ΑΠΠΔ, ΑΔΑΕ και ΕΕΤΤ, ενώ τον εποπτικό και κανονιστικό ρόλο ειδικά για τις 

δημόσιες υπηρεσίες διαδραματίζουν το ΓΕΕΘΑ και η ΕΥΠ. Η ΕΛΑΣ ασχολείται με θέματα εξακρίβωσης 

και πρόληψης ηλεκτρονικών εγκλημάτων (computer forensics). Ο ΕΦΤΑ αποτελεί ιδιωτική 

πρωτοβουλία για την πρόληψη της τηλεπικοινωνιακής απάτης, ενώ το GRNET παρέχει freeware 

προϊόντα και υπηρεσίες αςφαλείας. Τέλος το ΚΕΜΕΑ αποτελεί τον επιστημονικό, ερευνητικό και 

συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα της Πολιτικής Ασφάλειας ενώ το 



103



ΙΝΑ προωθεί πρωτοβουλίες (καλές πρακτικές, τεχνογνωσία, πολιτικές) σε θέματα ηλεκτρονικής α- 

σφάλειας στη ΝΑ Ευρώπη. 

Ρόλοι 

Φορέας Πεδίο δράσης Ρυθμίσεις, 


ΑΠΔΠΧ 

ΑΔΑΕ 

ΕΕΤΤ 

ΕΦΤΑ 

GRNET 

ΚΕΜΕΑ 

ΙΝΑ 


δεδομενων 

Προστασία 

απορρήτου επικοινωνιών 

Ρύθμιση θεμάτων 

τηλεπικοινωνιών 

και ταχυδρομείων 

Πρόληψη τηλεπικοινωνιακής 

απάτης 

Προϊόντα και υ- 

πηρεσίες ασφάλειας 

συστημάτων 

Συμβουλευτικές 

υπηρεσίες πολιτικής 

ασφάλειας 

Προώθηση πρωτοβουλιών 

ηλεκτρονικής 






Παροχή 

προϊόντωνυποδομών 






Χ Χ Χ 

Χ Χ Χ 

Χ 

Χ 

Χ 

Χ 

Χ 

Χ 

Χ 

Συμβουλευτικές 

υπηρεσίες 


Χ 

Χ 

Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί/Συμβουλευτικοί Φορείς Ασφάλειας 



104



Ρόλοι 

Φορέας 

Πεδίο δράσης 

Ειδικές Αρχές 

Ασφάλειας 

Ρυθμίσεις 

και 






Computer 

Forensics 





ΓΕΕΘΑ 

Έκδοση εθνικών 

κανονισμών ασφαλείας 

ΣΥΖΕΥΞΙΣ ΑΠ 

Χ 

ΕΥΠ 

Ασφάλεια Εθνικών Ε- 

πικοινωνιών και Πληροφορικής 

Κανονισμοί και Πιστοποίηση 


INFOSEC 

CERT για ΔΔ 

Χ 

Χ 

ΕΛΑΣ 

Εξέταση ψηφιακών 

πειστηρίων 

Ηλεκτρονικό έγκλημα 

Χ 

ΥΜΕ 

Χάραξη Πολιτικής 


Χ 

ΤΡΑΠΕΖΑ 

ΕΛΛΑΔΟΣ 

Δ/νση 

ΠΣΕΑ 

ΥΠΕΣ 

Έκδοση αρχών και κανονισμών 

ασφάλειας Χ Χ 

Σχέδια επικινδυνότητας 

και επιχειρησιακής 

συνέχειας Χ Χ 

Υ.Α.Π./ 

ΥΠΕΣ 

Διαθεσιμότητα πληροφοριών 

σε ΔΔ 

Σχέδια ανάκαμψης από 

καταστροφές 

ΑΠΕΔ 

Χ 

τ. ΥΔΤ ΣΥΖΕΥΞΙΣ ΑΠ 

ΥΠΕΣ 

Υπ. 

ΥΓΕΙΑΣ 



ΥΠΟΙΟ ΣΥΖΕΥΞΙΣ ΑΠ Χ Χ 

Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα 



105



5 

Κρίσιμες Πληροφοριακές και 

Επικοινωνιακές Υποδομές της 

Ελληνικής Δημόσιας Διοίκησης 



106



5. Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της 

Ελληνικής Δημόσιας Διοίκησης 

5.1 Αξιολόγηση Κρισιμότητας Πληροφοριακών και Επικοινωνιακών Υποδομών 

της Δημόσιας Διοίκησης 

5.1.1 Σκοπός 

Σκοπός του παρόντος κεφαλαίου είναι η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των 

Πληροφοριακών και Επικοινωνιακών Υποδομών της ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ), ως 

προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγηση. 

Η παρούσα είναι μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει να καταστεί δυνατή η 

δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας). 

Μια αναλυτικότερη και ακριβέστερη προσέγγιση, συνοδευόμενη με βαθμονόμηση κρίσιμων 

ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μεταγενέστερο έργο. 

Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύριοι 

παράγοντες που την προσδιορίζουν (απειλές, τρωτοτητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι 

απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας 

και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπισμός 

τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως είναι 

ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου. 

5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας 

Για την αξιολόγηση (και την ενδεχόμενη μετέπειτα διαβάθμιση) της κρισιμότητας μιας υποδομής ή ε- 

νός στοιχείου αυτής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της υποδομής ή των υπό αξιολόγηση 

στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται ως συνάρτηση των εξής 

τριών παραγόντων 53 : (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επίπτωση), όπου ο τελεστής ◊ 

είναι ένας γενικευμένος πολλαπλασιαστής. 

Η επικινδυνότητα αποτελεί εύλογο (αλλά όχι μοναδικό ή κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας 

(criticality) μιας υποδομής. Ωστόσο, υπάρχουν συγκεκριμενες δυσκολίες, τόσο θεωρητικές, 

όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας. 

Ενδεικτικά αναφέρονται οι εξής: 

• Δυσχέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, 

αλλά εξαιρετικά σημαντικών επιπτώσεων. Σε αυτά ανήκουν και οι ανθρωπογενείς απειλές (πχ. 

ειδικές επιθέσεις βίας). 

• Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων και υποδομών 

(όπως των ΠΕΥ). 

• Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις. 

Αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις οποίες εξαρτώνται άλλες σημαντικές 

υποδομές (ενέργεια, μεταφορά, υγεία κλπ.). 

• Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων. 

53 

Η χρήση μοντέλων όπως αυτό που περιγράφεται από την ως άνω εξίσωση, καθώς και η εκτίμηση των παραγόντων που 

υπεισέρχονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis 

and Management, Threat Estimation, Vulnerability Assessment, Impact Analysis, System Reliability, καθώς και σε άλλες 

συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμένες σε συγκεκριμένα συστηματα ή περιοχές εφαρμογής. 



107



• Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. επιπέδου εμπιστοσύνης, ψυχολογικών 

επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων των χρηστών ή του ευρύτερου 

κοινωνικού συνόλου κλπ.). 

Στην περίπτωση των ΠΕΥ αντιμετωπίζουμε, ακόμη, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής 

των υπηρεσιών (διαθεσιμότητας, ακεραιότητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων 

ανακύπτει και το πώς θα εκτιμηθούν οι επιπτώσεις της περιορισμένης διαθεσιμότητας (δηλαδή της 

“μη εύλογης” καθυστέρησης, πχ. μακροχρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας. 

Στο πλαίσιο αυτό θα ήταν σκόπιμη η διάκριση των συνθηκών λειτουργίας μιας υποδομής. Για παράδειγμα, 

οι περίοδοι αυτές θα μπορούσαν να διακριθούν σε περιόδους (α). κανονικής λειτουργίας, (β) 

ειδικών γεγονότων και (γ) έκτακτης ανάγκης. Σε καθεμία από τις περιόδους αυτές μπορεί να υπάρξει 

διαφοροποίηση της εκτίμησης της επικινδυνότητας. 

Αν επιλεγεί μια ποιοτική προσέγγιση της επικινδυνότητας, αυτή θα μπορούσε να βασιστεί σε μια α- 

δρομερή διαβάθμιση τόσο της πιθανοφάνειας των απειλών (low-medium-high), όσο και των επιπτώσεών 

τους, και στη συνέχεια στη χρήση κατάλληλου πίνακα επιπέδου επικινδυνότητας (risk-level 

matrix) [NIST-02] (Πίνακας 7). Με δεδομένες τις δυσκολίες εκτίμησης της πιθανοφάνειας των απειλών, 

μια περαιτέρω απλούστευση συνίσταται στο να υπολογισθεί το επίπεδο επικινδυνότητας μιας υ- 

ποδομής (ή μέρους αυτής) με βάση μόνον τις επιπτώσεις που επιφέρει η μη διαθεσιμότητά της. 

Μέγεθος επιπτώσεων 

Πιθανοφάνεια 

Απειλής 

Low (10) Medium (50) High (100) 

Low (0.1) 1 5 10 

Medium (0.5) 5 25 50 

High (1.0) 10 50 100 

Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων 

Προφανώς, οι έννοιες της κρισιμότητας και της επικινδυνότητας δεν ταυτίζονται. Λέμε, παραδείγματος 

χάρη, ότι μια υποδομή είναι “κρίσιμη” για την ανάπτυξη ενός τομέα. Σε μια τέτοια διατύπωση, η 

κρισιμότητα έχει θετική σημασία, κάτι που εννοιολογικά δεν μπορεί να αποδοθεί στην επικινδυνότητα. 

Ωστόσο, στο θεματικό πλαίσιο του συγκεκριμένου παραδοτέου, όπου η κρισιμότητα μελετάται με 

στόχο την προστασία, μπορεί να δικαιολογηθεί η διαβάθμισή της “κατ’ αναλογία” προς την επικινδυνότητα, 

δηλαδή με χρήση παρόμοιων κριτηρίων. 

5.1.3 Κριτήρια επικινδυνότητας 

Στην παράγραφο αυτή παρέχονται συγκεκριμένα παραδείγματα προσεγγίσεων στην ανάλυση της επικινδυνότητας, 

με βάση επιλεγμένα κείμενα από τη διεθνή βιβλιογραφία. 

Για τη διαβάθμιση των επιπτώσεων σε δυνητικά κρίσιμες υποδομές, η Ευρωπαϊκή Ένωση προτείνει 

να λαμβάνονται υπόψη τα εξής τρία βασικά χαρακτηριστικά [EU-05]: 

• Έκταση: Η απώλεια μιας συνιστώσας μια κρίσιμης υποδομής αξιολογείται με βάση τη γεωγραφική 

εμβέλεια των επιπτώσεών της (πχ. διεθνής, εθνική, περιφερειακή, τοπική). 

• Μέγεθος: Η επίπτωση μπορεί να κατηγοριοποιηθεί ως “μηδαμινή” (αμελητέα), “μικρή”, “μεσαία” 

ή “σημαντική”. Το μέγεθος αξιολογείται με βάση επιμέρους χαρακτηριστικά, όπως η εμβέλεια 

της επίδρασης (αριθμός πολιτών που επηρεάστηκαν, απώλεια ανθρώπινης ζωής, τραυματισμός 



108



κλπ.), η οικονομική επίπτωση (επηρεασμός του ΑΕΠ, μέγεθος οικονομικής απώλειας και/ή υποβάθμιση 

προϊόντων και υπηρεσιών), η περιβαλλοντική επίπτωση (στο κοινό και στο περιβάλλον), 

η άλληλοεξάρτηση (με άλλες υποδομές ή/και συνιστώσες τους), η αρνητική δημοσιότητα (πχ. 

πολιτικό κόστος, εμπιστοσύνη στην κυβέρνηση, κρίση αξιοπιστίας) κλπ. 

• Επίδραση του χρόνου: Αφορά εκείνη το χρονικό σημείο της απώλειας μιας συνιστώσας, οπότε 

θα υπήρχε σημαντική επίδραση (πχ. άμεσα, μέσα στο επόμενο 24ωρο, σε μια εβδομάδα κλπ.). 

Μια άλλη σχετική προσέγγιση, η οποία στηρίζεται στην ανάλυση επικινδυνότητας κρίσιμων υποδομών 

[EMA-03], προσθέτει ένα τέταρτο χαρακτηριστικό, τη διαχειρισιμότητα (manageability), η οποία 

συσχετίζει την κρισιμότητα της υποδομής με τη δυνατότητα αντιμετώπισης περιστατικών προσβολής 

της. Η προσέγγιση αυτή αφορά κυρίως διαχείριση κρίσεων, γιαυτό ως πιθανές επιπτώσεις περιγράφονται 

οι: 

• μακροχρόνια αδυναμία παροχής κρίσιμων υπηρεσιών ή υποδομών, 

• χρήση διαδικασιών εκτάκτου ανάγκης, 

• ανάγκη για ανταπόκριση από πολλαπλές οργανωτικές μονάδες και φορείς, 

• εκτενής χρήση εξωτερικών πόρων, 

• υψηλός αριθμός ανθρώπινων απωλειών ή τραυματισμών, 

• γενική και εκτενής μετατόπιση ανθρώπινου δυναμικού για μεγάλες χρονικές περιόδους, 

• εκτενείς υλικές ζημιές, 

• σημαντική περιβαλλοντική επίδραση με μακροχρόνια ή μόνιμη ζημία, 

• εκτενής οικονομική απώλεια. 

Ανάλογα κριτήρια προσδιορισμού των κρίσιμων υποδομών, καθώς και του βαθμού κρισιμότητάς 

τους, ορίζονται στo National Critical Infrastructure Assurance Program [NCIAP-04]. Ειδικότερα, υιοθετούνται 

έξι κριτήρια που αφορούν την απώλεια της διαθεσιμότητας ενός αγαθού ή μιας υπηρεσίας. 

Αυτά αναλύονται με βάση τέσσερις παραμέτρους: (α). εμβέλεια (scope), (β). μέγεθος επίπτωσης 

(magnitude), (γ). χρονική συγκυρία (time of the year) και (δ). επίδραση του χρόνου (effects of time), 

ως εξής (Πίνακας 8): 

• Βαθμός συγκέντρωσης πληθυσμού. Εκτιμά τις πιθανές ανθρώπινες απώλειες, τραυματισμούς ή 

εγκαταστάσεις που πρέπει να εκκενωθούν λόγω της απώλειας μιας υπηρεσίας ή μιας εγκατάστασης. 

Δεν περιλαμβάνει εκτιμήσεις για τον αριθμό των ατόμων που επηρεάζονται γενικότερα 

από την απώλεια της διαθεσιμότητας. Βασίζεται στο ότι, όσο υψηλότερη είναι η συγκέντρωση 

των ατόμων, τόσο μεγαλύτερη είναι η πιθανότητα για καταστροφικά γεγονότα. 

• Οικονομική επίπτωση. Εκτιμά την πιθανή οικονομική επίπτωση από τη μείωση της ποιότητας 

μιας υπηρεσίας έως τη μη διαθεσιμότητά της. Εκτός από την άμεση φυσική απώλεια ή διακοπή ε- 

νός αγαθού, συνεκτιμά σε ποιοτικούς όρους και απώλειες που σχετίζονται με τις ανάλογες πληροφορίες 

ή ανθρώπους που χρησιμοποιούν το αγαθό. 

• Εμβέλεια επιπτώσεων. Εκτιμά πώς η απώλεια ενός αγαθού επηρεάζει έναν ή περισσότερους τομείς. 

• Αλληλοεξάρτηση. Εκτιμά την επίπτωση σε άλλες υποδομές από την απώλεια μιας υπηρεσίας 

κάποιας υποδομής. Εντοπίζονται οι συσχετίσεις μεταξύ υποδομών ανά υπηρεσία ή αγαθό. Στόχος 

είναι να εντοπιστούν επιπτώσεις κλίμακας σε άλλες κρίσιμες υπηρεσίες/λειτουργίες/αγαθά μέσα 

σε ένα τομέα ή σε άλλους τομείς. Οι τύποι της αλληλοεξάρτησης περιλαμβάνουν: (α). φυσική ε- 

ξάρτηση (το προϊόν μιας υποδομής χρησιμοποιείται από μια άλλη), (β). γεωγραφική εξάρτηση 

(πχ. κοινή εγκατάσταση) και (γ). λογική εξάρτηση. 

• Κρισιμότητα υπηρεσίας. Εκτιμάται ποιοτικά η επίπτωση της καταστροφής ή της προσωρινής 

απώλειας ενός αγαθού ενός τομέα στην Οικονομία. Αρχικά, απαιτείται ποσοτική εκτίμηση του 



109



χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. 

Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη διαθεσιμότητα των εναλλακτικών υπηρεσιών, 

καθώς και με το κόστος και το χρόνο αποκατάστασής της. 

• Εμπιστοσύνη του κοινού. Εκτιμάται η επίπτωση στην κοινή γνώμη (εργαζομένων, καταναλωτών, 

πολιτών, ομάδων με ειδική ευαισθησία ή/και επιρροή κλπ.). Ειδικότερα, εκτιμάται η εμπιστοσύνη 

του κοινού στην Κυβέρνηση, που αφορά την προστασία της δημόσιας υγείας, ασφάλειας, 

οικονομίας ή την παροχή σχετικών υπηρεσιών. 

Επίπτωση Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή 

Βαθμός 15 5 3 1 

Συγκέντρωση πληθυσμού 

Οικονομική επίπτωση 

(άμεσο κόστος α- 

ποκατάστασης) 

Εμβέλεια επιπτώσεων 

Βαθμός αλληλοεξάρτησης 

Κρισιμότητα υπηρεσίας 

Εμπιστοσύνη του 

κοινού 

>10,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 €



4. Εμπιστοσύνη της κοινής γνώμης 

5. Άσκηση διοίκησης και εφαρμογή πολιτικής ΔΔ 

Χαρακτηριστικά κλίμακας 

1. Ένταση (intensity) 

2. Χρονική διάρκεια ή κατανομή 

3. Γεωγραφική εμβέλεια 

Η ένταση είναι μέγεθος ανηγμένο ανά άτομο και χρονική μονάδα (ημέρα, βδομάδα, μηνα), πχ. για τις 

οικονομικές επιπτώσεις μπορεί να εκφρασθεί σε €/άτομο/μέρα. 

Εάν δεν υπάρχει εποχιακή διακύμανση των επιπτώσεων, η ένταση δίνεται από έναν αριθμό. Εάν, ω- 

στοσο, οι επιπτώσεις εξαρτώνται από το χρόνο εμφάνισης της προσβολής ή αστοχίας της υποδομής, 

τότε απαιτείται μια χρονική κατανομή της έντασης των επιπτώσεων, υπό τύπον καμπύλης. Η αθροιστική, 

ως προς το χρόνο, ένταση επιπτώσεων, δηλαδή το εμβαδόν κάτω από την καμπύλη κατανομής 

για το διάστημα που διαρκούν οι επιπτώσεις, δίνει την κατά κεφαλή επίπτωση. Στην Ελλάδα, για 

παράδειγμα, ας θεωρήσουμε την πληροφοριακή και επικοινωνιακή υποδομή του TAXIS. Προφανώς 

υπάρχει εποχιακή διακύμανση των επιπτώσεων, λόγω των καθορισμένων ημερομηνιών και προθεσμιών 

για τη διεκπεραίωση υποθέσεων και συναλλαγών πολιτών και επιχειρήσεων με το Υπουργείο 

Οικονομικών. Συνεπώς, άλλες είναι οι επιπτώσεις της μη διαθεσιμότητας των servers της ΓΓΠΣ κατά 

το Μάρτη-Απρίλη και άλλες τον Ιούλιο-Αύγουστο. Με χρήση της ενδεικτικής κατανομής του Σχήμα 

18 μπορούμε να υπολογίσουμε την κατά κεφαλή επίπτωση ενός συμβάντος (πχ. της μη διαθεσιμότητας 

της υποδομής της ΓΓΠΣ από [15.04-15.05] σε 35 μονάδες). 

Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι 

αναφερόμενες τιμές είναι ενδεικτικές) 

Η γεωγραφική εμβέλεια των επιπτώσεων παρέχεται ως κατανομή της πληθυσμιακής πυκνότητας 

στην περιοχή ενδιαφέροντος ή/και του ειδικού βάρους που έχουν οι συγκεκριμένες επιπτώσεις ανά 

περιοχή. Προκειμένου για μια δημόσια υπηρεσία ηλεκτρονικής διακυβέρνησης, η πληθυσμιακή πυκνότητα 

μιας περιοχής στην οποία απευθύνεται η υπηρεσία προκύπτει από το γινόμενο της πραγματικής 

πληθυσμιακής πυκνότητας επί το ποσοστό διείσδυσης (penetration) της υπηρεσίας. Το χωρικό ο- 

λοκλήρωμα της ως άνω κατανομής στην περιοχή ενδιαφέροντος (πυκνότητα x έκταση) θα δώσει τον 

ενεργό πληθυσμό που πρέπει να ληφθεί υπόψη για τον υπολογισμό του μεγέθους των επιπτώσεων 



111



διακοπής της υπηρεσίας. Ο τελικός τύπος υπολογισμού του μεγέθους αυτού είναι: (μέγεθος επίπτωσης) 

= (κατά κεφαλή επίπτωση) x (ενεργός πληθυσμός) 

Στο Σχήμα 19 παρέχεται ένα ενδεικτικό διάγραμμα με διαβαθμισμένα τα χαρακτηριστικά κλίμακας, 

καθώς και το μέγεθος των πέντε κατηγοριών επιπτώσεων, με βάση την ως άνω μέθοδο. 

Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική 

διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές) 

Για τις κατηγορίες επιπτώσεων των οποίων είναι δυσχερής η ποσοτικοποίηση ως προς την ένταση 

(πχ. επίπεδο εμπιστοσύνης της κοινής γνώμης, άσκηση διοίκησης και εφαρμογή πολιτικής), μπορεί 

να γίνει μια αδρομερής διαβάθμιση σε κλίμακες, οπότε θα προκύψει μια αντίστοιχη διαβάθμιση για 

το μέγεθος των επιπτώσεων αυτών. 

Η ως άνω προσέγγιση θα μπορούσε να εμπλουτισθεί περαιτέρω, ειδικά για χώρες όπως η Ελλάδα, ό- 

που η διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση δεν είναι εκτενής, σε συνδυασμό με το ότι οι υπηρεσίες 

ηλεκτρονικής διακυβέρνησης είναι περιορισμένα ορατές στο μέσο πολίτη. Στην Ελλάδα, κάποια 

τυχόν μείζονα προβλήματα στη λειτουργία μιας ΠΕΥ μπορεί να δημιουργήσουν αρνητική προδιάθεσή 

στους πολίτες, τοσο έναντι της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όσο και έ- 

ναντι των ΤΠΕ γενικότερα. Συνεπώς, η εκτίμηση της επιρροής των συμβάντων αυτών στην άποψη 

του κοινού για τις ΤΠΕ μπορεί να συνεισφέρει ως μια κατηγορία επιπτώσεων. 

5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ 

Με βάση τη μελέτη της σχετικής εμπειρίας και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις 

προτάσεις που προηγήθηκαν, η μέθοδος που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολόγηση 

της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις παραμέτρους: 

3. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγησαν 

10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της σχετικής διεθνούς βιβλιογραφίας. 

4. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια 

κλίμακα Likert, προκειμένου να αποτυπωθεί ακριβέστερα η σχετική πραγματικότητα. 

5. Οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, οι οποίες επελέγησαν με βάση τις σχετικές κατευθύνσεις της 

Ευρωπαϊκής Ένωσης που αφορούν τις ηλεκτρονικά παρεχόμενες υπηρεσίες Δημόσιας Διοίκησης, 



112



με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων ανάπτυξης 

και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων. 

6. Η διαδικασία επιλογής των κρίσιμων υποδομών, η οποία βασίζεται στο συνδυασμό της έντασης 

κάθε επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση 

το θεωρητικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο” 54 (worst-case scenario). 

Για κάθε μία από τις παραπάνω παραμέτρους έγιναν συγκεκριμένες επιλογές, οι οποίες περιγράφονται 

στη συνέχεια. 

Τα είδη των επιπτώσεων που λήφθηκαν υπόψη είναι τα εξής: 

1. Πληθυσμός (αριθμός χρηστών) που επηρεάζεται 

2. (Άμεση) Οικονομική επίπτωση από τη μη διαθεσιμότητα 

3. Ένταση διασυνοριακότητας 

4. Αλληλεξάρτηση ΠΕΥ με άλλες 

5. Ανάκαμψη ΠΕΥ 

6. Αντίδραση της κοινής γνώμης 

7. Επίπτωση στην εφαρμογή πολιτικών και στην εν γένει λειτουργία της ΔΔ 

8. Επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων 

9. Επίπτωση στην ιδιωτικότητα (privacy) 

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ 

Η ένταση των επιπτώσεων περιγράφεται με τη βοήθεια μιας πενταβάθμιας κλίμακας τύπου Likert, 

με τιμές: {Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. H επιλογή πενταβάθμιας κλίμακας, 

αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας, έγινε για να μπορεί να 

απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορισμένων επιπτώσεων, δεδομένων 

των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέλειας), σε σύγκριση με τις αντίστοιχες 

διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετραβάθμια ή εξαβάθμια κλίμακα δεν είχε κάτι 

πραγματικά ουσιαστικό να συνεισφέρει στη διαφοροποίηση της έντασης των επιπτώσεων. 

Ο Πίνακας 9 που προκύπτει από το συνδυασμό των ως άνω παραμέτρων εμπλουτίστηκε με τις τιμές 

εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Οι τιμές, αν και σε ορισμένα 

σημεία επελέγησαν ad hoc για να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες, βασίζονται κυρίως 

στη σχετική βιβλιογραφία. 

Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν 

θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την 

κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους. 

Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική 

προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπηρεσίες 

55 , ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπηρεσίες 

αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες 

ΠΕΥ της ΔΔ. Οι υποψήφιες ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω 

συνεντεύξεων που διεξήχθησαν μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της 

ΚτΠ Α.Ε., τα οποία διετέλεσαν ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ. 


επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, 

αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη. 

55 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μεθοδο. Έτσι, 

είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών στην ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής 

διακυβέρνησης. Περαιτέρω, οι υπηρεσίες αυτές αξιολογούνται και από το ελληνικό Παρατηρητήριο για την Κοινωνία 

της Πληροφορίας, ως προς το επίπεδο ωρίμανσής τους. 



113





Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή 

Επηρεαζόμενος πληθυσμός 

>100,000 10,000-100,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 € 0,1-1 x 10 6 €



Τέλος, η μελέτη των ΠΕΥ αυτών διευρύνθηκε, περαιτέρω, μέσω εστιασμένου σχεδίου διαβούλευσης, 

το οποίο εκπονήθηκε και υλοποιήθηκε από την Ο.Ε. και αφορούσε την ανταλλαγή απόψεων μεταξύ 

των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτικό τομέα, οι οποίοι έ- 

χουν ώριμη αντίληψη για τέτοιου είδους υποδομές. 

Η διαδικασία επιλογής των κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρακτηρισμό 

αυτό, δεν βασίστηκε σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και 

συλλογικής επαγγελματικής εμπειρογνωμοσύνης (professional judgement). Το θεμελιώδες σημείο α- 

ναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυσμενέστερου ενδεχομένου (worst-case scenario). 

Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές της 

ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κριτηρια 

κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή. 

Σύμφωνα με τη μέθοδο που περιγράφηκε, καθώς και την αναλυτική καταγραφή και αξιολόγηση των 

δεδομένων των υποψήφιων κρίσιμων ΠΕΥ ΔΔ (που ακολουθεί στα επόμενα κεφάλαια), προκύπτει ο 

που περιλαμβάνει τις χαρακτηριστικές Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της 

Ελληνικής Δημόσιας Διοίκησης. 



115




Πληροφοριακή και 

Επικοινωνιακή Υποδομή 

ΣΥΖΕΥΞΙΣ ΟΠΣ ΚΕΠ Data Centers ΚτΠ Α.Ε. TAXISnet 

Επηρεαζόμενος πληθυσμός Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή 

Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ Υψηλή 

Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ Υψηλή 

Αλληλοεξάρτηση Πολύ Υψηλή Μέτρια Υψηλή Υψηλή 

Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή 

Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια 

Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια 

Προσωπική ασφάλεια Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή 

Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή 

Επηρεασμός του κοινού για τις 

ΤΠΕ/ΠΕΥ 

Υψηλή Υψηλή Πολύ Υψηλή Υψηλή 

Χρωματικός κώδικας έντασης της τιμής της παραμέτρου 

Χαμηλή Μέτρια Υψηλή 

Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές) 



116



Σύμφωνα με τον παραπάνω πίνακα προκύπτουν, συμπερασματικά, τα εξής: 

Όλες οι κρίσιμες ΠΕΥ ΔΔ παρουσιάζουν επίπτωση επιπέδου «Πολύ Υψηλή», αναφορικά με τον επηρεαζόμενο 

πληθυσμό, ενώ επιπέδου «Υψηλή – Πολύ Υψηλή» χαρακτηρίζεται και η επίπτωση αναφορικά 

με τη γεωγραφική εμβέλεια, την αποκάλυψη προσωπικών δεδομένων και την επίδραση στη 

γνώμη του κοινού για τις ΤΠΕ/ΠΕΥ. Με εξαίρεση του ΟΠΣ ΚΕΠ, που παρουσιάζει «Μέτρια» αλληλεξάρτηση, 

«Υψηλή - Πολύ Υψηλή» είναι η επίπτωση για όλες τις κρίσιμες ΠΕΥ ΔΔ, αναφορικά με 

το συγκεκριμένο κριτήριο. 

Οι παραπάνω τιμές δικαιολογούνται από το γεγονός ότι όλες οι υποδομές, παρουσιάζουν εξαρτήσεις, 

απευθύνονται σε ένα πολύ ευρύ κοινό χρηστών, σε εθνικό, αλλά και διεθνές επίπεδο, όπου γίνεται 

χρήση και επεξεργασία προσωπικών στοιχείων. 

Από την άλλη πλευρά, με εξαίρεση το TAXIS-TAXISnet, όπου λόγω της υποστήριξης άμεσων οικονομικών 

συναλλαγών, η οικονομική επίπτωση κρίνεται ως «Πολύ Υψηλή», στις υπόλοιπες κρίσιμες 

ΠΕΥ ΔΔ το αντίστοιχο κριτήριο χαρακτηρίζεται με το βαθμό «Χαμηλή», εφόσον δεν υπάρχει άμεσος 

χειρισμός οικονομικών στοιχείων. 

Ομοίως, με εξαίρεση τα Data Centers της ΚτΠ Α.Ε. όπου το κριτήριο της επίπτωσης της ανάκαμψης 

- διαθεσιμότητας της υπηρεσίας χαρακτηρίζεται με το βαθμό «Υψηλή», λόγω της κρισιμότητας της 

Εθνικής Πύλης ΕΡΜΗΣ αλλά και των ΟΠΣΝΑ, όλες οι άλλες κρίσιμες ΠΕΥ ΔΔ χαρακτηρίζονται ως 

«Μέτρια – Χαμηλή», δεδομένου ότι δεν υπάρχουν υψηλές απαιτήσεις διαθεσιμότητας, λόγω της ύ- 

παρξης επαρκών εναλλακτικών καναλιών. 

Στα ίδια πλαίσια, για το ΣΥΖΕΥΞΙΣ, το κριτήριο της αντίδρασης της κοινής γνώμης έχει «Υψηλή» 

επίπτωση, δεδομένου του έυρους του Δικτύου στις υπηρεσίες ΔΔ και τον αριθμό των χρηστών του, 

ενώ για τις άλλες κρίσιμες ΠΕΥ ΔΔ η σχετική επίπτωση κρίνεται ως «Μέτρια». 

Με το ίδιο σκεπτικό, για την κρίσιμη ΠΕΥ ΔΔ του ΟΠΣ ΚΕΠ, δεν υπάρχει σημαντική επίδραση στη 

λειτουργία κυβερνητικών φορέων και, κατ’ επέκταση, στην εφαρμογή κυβερνητικής πολιτικής από 

την παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, οπότε το σχετικό κριτήριο της εφαρμογής 

πολιτικής και λειτουργίας ΔΔ χαρακτηρίζεται με επίπτωση «Χαμηλή», σε αντίθεση με τις άλλες 

ΠΕΥ ΔΔ που χαρακτηρίζονται με «Μέτρια» επίπτωση, για το συγκεκριμένο κριτήριο. 

Τέλος, για όλες τις κρίσιμες ΠΕΥ ΔΔ δεν φαίνεται να προκύπτει άμεση συσχέτιση με την προσωπική 

ασφάλεια των πολιτών, οπότε για το συγκεκριμένο κριτήριο η επίπτωση χαρακτηρίζεται ως «Πολύ 

Χαμηλή». 

5.2 Δίκτυο ‘Σύζευξις’ 

5.2.1 Στοιχεία ταυτότητας έργου 

Το «Σύζευξις» είναι έργο του Υπουργείου Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης 

(ΥΠΕΣΔΔΑ), με το οποίο επιδιώκεται η ανάπτυξη και ο εκσυγχρονισμός της τηλεπικοινωνιακής 

υποδομής του Δημόσιου Τομέα. Πρόκειται για ένα δίκτυο πρόσβασης και κορμού για τους φορείς 

του Δημοσίου, με σκοπό να καλύψει όλες τις ανάγκες για τη μεταξύ τους επικοινωνία με τηλεφωνία 

(τηλεφωνική επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και 

Video (τηλεδιάσκεψη - τηλεεκπαίδευση). 

Σκοπός του έργου είναι η βελτίωση της λειτουργίας των δημοσίων υπηρεσιών, με την αναβάθμιση 

της μεταξύ τους επικοινωνίας μέσω της παροχής προηγμένων τηλεματικών υπηρεσιών με χαμηλό 



117



κόστος, και η ενοποιημένη εξυπηρέτηση των πολιτών, με αυτοματοποιημένα και φιλικά προς τον 

χρήστη συστήματα πληροφόρησης και διεκπεραίωσης συναλλαγών με το Δημόσιο. 

Προϋπολογισμός έργου: 80.000.000 € 

Χρονοδιάγραμμα: Διάρκεια έργου 48 μήνες 

• 1996: Πρώτος σχεδιασμός 

• 1/1/2005-31/12/2005: Ολοκλήρωση μελέτης εφαρμογής και βασικής υλοποίησης 

• 1/1/2006-31/12/2008: Παραγωγική λειτουργία και παροχή υπηρεσιών 

Ανάδοχοι: 

• Altec Telecoms και ΟΤΕ: Υλοποίηση Δικτύου στην Αττική (Νησίδα 1) 

• Forthnet: Υλοποίηση δικτύου στη Θεσσαλονίκη (Νησίδα 3) 

• ΟΤΕ: Υλοποίηση δικτύου στην Υπόλοιπη Ελλάδα (4 νησίδες) 

• ΟΤΕ: Δίκτυο κορμού 

• ΟΤΕ-OteNet: Datacenter για την παροχή υπηρεσιών κορμού (portal, workplace, MCU) 

• Adacom, OteNet: Υποδομή Δημόσιου Κλειδιού (PKI) 

• 01 Πληροφορική, Exodus, ATC ABETE: E-Learning 

• Σύμπραξη Διαδικασία και InfoGroup και EOGroup και ΕΠΙΣΕΥ: Σύμβουλος Τεχνικής Υποστήριξης 

(ΣΤΥ) 

Μελετητής Ασφάλειας: 

• Δεν έχει προδιαγραφεί Μελέτη Ασφάλειας. 

• Εξαίρεση αποτελεί η παροχή υπηρεσιών Ψηφιακής Υπογραφής (ΡΚΙ) όπου έχει εκπονηθεί Μελέτη 

Εφαρμογής, η οποία εγγενώς μπορεί να θεωρηθεί ως μελέτη ασφάλειας για τη συγκεκριμένη υπηρεσία 

• Γίνονται μόνο κατά-περίπτωση (ad-hoc) ενέργειες ρύθμισης των συστημάτων Firewall, IDS, Access 

Lists. 

Τρέχουσα Κατάσταση: 

• Διασυνδέονται 1800 σημεία πρόσβασης. Μία λογική κατηγοριοποίηση των διασυνδεδεμένων 

σημείων γίνεται με τρεις εναλλακτικούς τρόπους: 

o 

o 

o 

Γεωγραφικά (διαχωρισμός σε 6 νησίδες με γεωγραφικό προσδιορισμό). Υπάρχει αντιστοιχία 

με την ανάθεση των υποέργων σε διαφορετικούς αναδόχους. 

Διοικητικά (διαχωρισμός με κριτήριο τη διοικητική αυτονομία των διαφορετικών ομάδων 

χρηστών). Η διοικητική κατηγοριοποίηση βασίζεται κυρίως στο διαχωρισμό με βάση τις 

αρμοδιότητες των Υπουργείων. Υπάρχει αντιστοιχία με το διαχωρισμό του ‘Σύζευξις’ σε 

ιδεατά ιδιωτικά δίκτυα (VPN) (β.λπ. 5.2.2.). 

Αριθμητικά (διαχωρισμός σε μικρό, μεσαίο και μεγάλο φορέα, ως προς τον αριθμό των 

χρηστών ανά κτίριο). Ο διαχωρισμός αυτός αφορά κυρίως στη σχεδίαση της τηλεπικοινωνιακής 

υποδομής που εγκαθίσταται στο σημείο διασύνδεσης, καθώς και στον εξοπλισμό 

και στην τεχνολογία που χρησιμοποιείται. 



118



• Το έργο αυτή τη στιγμή βρίσκεται σε εξέλιξη. Συγκεκριμένα βρίσκεται στη φάση της παραγωγικής 

λειτουργίας, η οποία λήγει στο τέλος του τρέχοντος έτους (2008). 

• Μετά το τέλος του παρόντος έργου θα προκηρυχθεί νέο έργο, ανοικτό προς όλους τους ενδιαφερόμενους. 

Πρόσθετο έργο ‘Μίνι Σύζευξις’: 

• Σε φάση πιλοτικής λειτουργίας βρίσκεται ένα πρόσθετο έργο-επέκταση (Μίνι-Σύζευξις) για τη 

διασύνδεση επιπλέον φορέων που δεν εντάχθηκαν στο κυρίως έργο. 

• Διασύνδεση επιπλέον 1200 σημείων. 

• Οι διασυνδέσεις έχουν ολοκληρωθεί κατά 95% και το έργο βρίσκεται σε φάση πιλοτικής λειτουργίας. 

• Ανάδοχοι: Forthnet για τη νησίδα της Θεσσαλονίκης και ΟΤΕ για τις νησίδες Αττικής και Υπόλοιπης 

Ελλάδας. 

5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου 

Τοπολογία λογικής διασύνδεσης – εξαρτήσεις: 

• Το Δίκτυο χωρίζεται λογικά σε 4 Ιδεατά Ιδιωτικά Δίκτυα (VPN) για τα οποία ακολουθείται η 

ορολογία ‘Νησίδες’: 

o 

o 

Φορείς του Υπουργείου Εσωτερικών: Υπουργεία, Νομαρχίες, Περιφέρειες, Δήμοι, Κέντρα 

Εξυπηρέτησης Πολιτών (>1200 σημεία διασύνδεσης). 

Φορείς του Υπουργείου Υγείας: Νοσοκομεία, Κέντρα Υγείας, Μονάδες διοίκησης της υγείας 

και φορείς Πρόνοιας (~400 σημεία). 

o Φορείς του Υπουργείου Εθνικής Άμυνας: Στρατολογικά γραφεία, Γενικό Επιτελείο (υπό α- 

νάπτυξη). 

o 

Φορείς του Υπουργείου Οικονομικών: Διαχειριστικές αρχές του 3ου Κοινοτικού Πλαισίου 

Στήριξης, σύστημα GIS και περίπου 1200 πρόσθετες διασυνδέσεις από το έργο ‘Μίνι-Σύζευξις’. 

• Τα 4 VPNs είναι απομονωμένα μεταξύ τους και επικοινωνούν με τους ίδιους αυστηρούς κανόνες 

που ισχύουν για την επικοινωνία με εξωτερικά ανοικτά δίκτυα. 

• Οι Φορείς που βρίσκονται εντός του ίδιου VPN επικοινωνούν μεταξύ τους με λιγότερο αυστηρούς 

κανόνες, ως ένα Intranet. Εδώ διαφαίνεται ενίσχυση των ‘εκ των έσω’ κινδύνων λόγω του 

μεγάλου μεγέθους και της διασποράς των σημείων που διασυνδέονται. 

• Διαπιστώνεται ότι σημαντικός αριθμός φορέων διαθέτουν ταυτόχρονα και πρόσθετες διασυνδεσεις 

(εκτός Σύζευξις) με εξωτερικά δίκτυα. 



119



Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’ 

Τεχνικά Χαρακτηριστικά και Σχεδιαστικές επιλογές: 

• Ευρυζωνικές διασυνδέσεις (2 – 34 Mbps). 

• Για την σύνδεση με το Διαδίκτυο (Internet) κάθε νησίδα έχει τουλάχιστον 2 ξεχωριστές ζεύξεις 

(μια πρωτεύουσα και μια δευτερεύουσα) για λόγους διαθεσιμότητας και αξιοπιστίας. 

• Τεχνολογία MPLS. 

• Κάθε φορέας που διασυνδέεται μπορεί να διαμορφώσει τη δική του περιμετρική ασφάλεια, πέρα 

από το κατώτερο επίπεδο ασφάλειας που επιβάλλει η κεντρική υποδομή. 

• Κεντρικές υπηρεσίες ασφάλειας: firewalls, proxies, antivirus, intrusion detection systems, antispamming, 

content filtering (Κάθε ανάδοχος έχει τα δικά του συστήματα, τα οποία μπορεί να 

υλοποιούνται σε διαφορετικές πλατφόρμες). 

• Δυνατότητα low-level κρυπτογράφησης από άκρο-σε-άκρο μεταξύ φορέων. 

• Απομακρυσμένη ασφαλής σύνδεση με IPsec, για τα στελέχη της ΔΔ. 

• Όλες οι TCP/UDP πόρτες είναι εξορισμού κλειστές. Επιτρέπεται μόνο η επικοινωνία για web 

(http:80, https:443) και για email (smtp:25, pop3:110) 

• Δυνατότητα υποστήριξης επιπλέον εφαρμογών – δικτυακών πορτών μετά από τεκμηριωμένο 

αίτημα. 

• Κάθε κόμβος του δικτύου διανομής θα είναι συσκευή του Επιπέδου Δικτύου 3 (OSI layer 3 - 

Network Layer) και συγκεκριμένα του πρωτοκόλλου IP εκτελώντας όλες τις λειτουργίες του 

επιπέδου αυτού ή/και ανώτερου (δρομολόγηση κ.α.). 

• Η μετάδοση φωνής γίνεται πάνω από IP δίκτυα με υλοποίηση πρωτοκόλλων VoIP (Voice over 

Internet Protocol). 



120



5.2.3 Παρεχόμενες υπηρεσίες 

Υπηρεσίες που παρέχονται: 

• Ενοποιημένες υπηρεσίες Δεδομένων-Φωνής-Εικόνας. 

• Υπηρεσίες τηλεφωνίας μεταξύ των διασυνδεδεμένων φορέων και τερματισμός για κλήσεις 

προς εξωτερικά δίκτυα. 

• Για τις ανάγκες τηλεδιάσκεψης-τηλεεκπαίδευσης έχουν εγκατασταθεί 100 studio τηλεδιάσκεψης 

σε επιλεγμένα σημεία. 

• Συνεργασία-Διασύνδεση με το Ευρωπαϊκό δίκτυο Δημόσιας Διοίκησης TESTA, Trans-European 

Services for Telematics between Administrations, το οποίο υιοθετεί αυστηρή πολιτική ασφά - 

λειας. 

PKI και Ψηφιακή Υπογραφή: 

• 50.000 χρήστες ψηφιακών πιστοποιητικών με smart cards. 

• Για κάθε χρήστη διατίθεται Ψηφιακό Πιστοποιητικό αποκλειστικά για χρήση σε ψηφιακή υπογραφή 

και ταυτοποίηση και ένα 2ο πιστοποιητικό για χρήση αποκλειστικά σε κρυπτογράφηση. 

• 2.500 ψηφιακά πιστοποιητικά SSLγια τους servers του δικτύου. 

• Ο Κανονισμός Πιστοποίησης έχει δημοσιευθεί επίσημα και βρίσκεται σε ισχύ. 

5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ 

Διασυνδεμένοι Φορείς στο κυρίως έργο: 

• Δυνητικά, το σύνολο των φορέων του ευρύτερου ελληνικού Δημοσίου. 

• Σήμερα περίπου 1800 σημεία σύνδεσης, φορέων που εντάσσονται σε 4 Υπουργεία. 

• Υπάρχουν ακόμη πολλοί φορείς που δεν συμμετέχουν και έχουν εκφράσει το ενδιαφέρον 

συμμετοχής τους (π.χ. ΕΛΑΣ, ΥΕΝ, Υπ.Γεωργίας, Εθνικό Κτηματολόγιο, κ.ά.). 

Διασυνδεμένοι Φορείς στο πρόσθετο έργο ‘Μίνι-Σύζευξις’: 

• Επιπλέον 800 σημεία-κτήρια, κυρίως του Υπουργείου Οικονομικών (Δημόσιες Οικονομικές Υ- 

πηρεσίες, Τελωνεία, Κτηματικές υπηρεσίες, Χημικές Υπηρεσίες, Υπηρεσίες Δημοσιονομικού 

Ελέγχου κ.ά.). 

• Επιπλέον 400 κτήρια των Νομαρχιακών Αυτοδιοικήσεων (πλέον των κεντρικών κτηρίων τους 

που καλύφθηκαν από το κυρίως έργο). 

Βαθμός Διασύνδεσης 

Όλα τα σημεία πρόσβασης διασυνδέονται μεταξύ τους σε level 3, δηλαδή βασίζονται στο πρωτόκολλο 

ΙΡ. Όλα τα σημεία, ανεξάρτητα από τη νησίδα στην οποία ανήκουν διασυνδέονται μεταξύ 

τους αλλά και με εξωτερικά δίκτυα, με ελεύθερη χρήση των εφαρμογών HTTP (εφαρμογές web) 

και SMTP-POP3 (εφαρμογές ηλεκτρονικού ταχυδρομείου). 

Επιπλέον, τα σημεία πρόσβασης εντός της ίδιας λογικής ομάδας (VPN) διαθέτουν μεγαλύτερο βαθμό 

ελευθερίας στη μεταξύ τους διασύνδεση, έτσι ώστε να είναι δυνατή η χρήση επιπλέον εφαρμογών. 



121



Τέλος, είναι δυνατή η ασφαλής επικοινωνία είτε μεταξύ servers-εφαρμογών με τη χρήση SSL, αλλά 

και η ασφαλής επικοινωνία μεταξύ χρηστών με τη χρήση προσωπικών ψηφιακών πιστοποιητικών 

για ψηφιακή υπογραφή και κρυπτογράφηση. 

5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου 

Δεν υφίσταται Μελέτη Ασφάλειας για το δίκτυο ‘Σύζευξις’. Καταγράφονται στη συνέχεια βασικά 

ζητήματα που σχετίζονται έμμεσα ή άμεσα με την ασφάλεια του δικτύου ‘Σύζευξις’: 

Διαθεσιμότητα Δικτύου: 

• Τυπικά βασίζεται εξ ολοκλήρου σε Service Level Agreements μεταξύ της ΚτΠ Α.Ε. και των Α- 

ναδόχων. 

• Η ευθύνη της καλής λειτουργίας του δικτύου μεταφέρεται στους Αναδόχους, μέσω των όρων 

των SLA. 

• Ουσιαστικά: 

o 

o 

o 

Υπάρχει πλήρης εφεδρεία στις γραμμές κορμού, μερική εφεδρεία στις γραμμές διανομής, 

αλλά δεν υπάρχει εφεδρεία στις γραμμές πρόσβασης. 

Υπάρχει πρόβλεψη για εφεδρεία στον εξοπλισμό των κεντρικών κόμβων (δηλαδή στα Data 

Centers των Παρόχων). 

Πρόβλεψη για on-site υποστήριξη και αντικατάσταση στον εξοπλισμό των διασυνδεδεμενων 

φορέων. 

Εμπιστευτικότητα και Ακεραιότητα: 

• Δεν υφίσταται κεντρική υποδομή για παροχή σχετικών υπηρεσιών. 

• Υλοποιούνται ασφαλή κανάλια επικοινωνίας από-άκρο-σε-άκρο κατά περίπτωση εφαρμογής. 

• Χρήση τεχνολογιών VPN, IPSec, Κρυπτογράφηση με ψηφιακά πιστοποιητικά (πάντα σε επίπεδο 

τελική εφαρμογής). 

• Χρήση των υπηρεσιών PKI για την υλοποίηση SSL και για την ασφαλή επικοινωνία μεταξύ 

χρηστών. 

Ταυτοποίηση Χρηστών: 

• IP-based ταυτοποίηση (κάθε χρήστης εντός μιας νησίδας θεωρείται έμπιστος). 

• Υπάρχει κεντρική υποδομή LDAP, που δεν αξιοποιείται για authentication, αλλά μόνο ως υπηρεσία 

ευρετηρίου. 

• Η διαχείριση Ταυτοποίησης και Εξουσιοδότησης δεν βασίζεται σε κάποια κεντρική υπηρεσία, 

αλλά γίνεται σε επίπεδο εφαρμογής. 

Διαχείριση Δικτύου: 

• Αποκλειστικά από τους Παρόχους. 

• Πρόσβαση Read-only για την ΚτΠ Α.Ε. 

• Καμία διαχειριστική δυνατότητα για τους διασυνδεδεμένους φορείς. 



122



Διασυνδέσεις με εξωτερικά δίκτυα: 

• TESTA (Trans-European Services for Telematics between Administrations) με αυστηρή πολιτική 

ασφάλειας. 

• ΕΔΕΤ: Κυρίως για παροχή υπηρεσιών τηλεφωνίας - δεν αξιοποιείται προς το παρόν. Το ΕΔΕΤ 

αντιμετωπίζεται ως ανοικτό δίκτυο. 

• Οποιοσδήποτε τρίτος, αλλά και οι νησίδες μεταξύ τους, αντιμετωπίζονται ως ‘Διαδίκτυο’. 

• Ύπαρξη άγνωστων διασυνδέσεων σε κτίρια διασυνδεδεμένων φορέων. 

Υποδομή Δημόσιου Κλειδιού: 

• Θεωρητικά θα αποτελεί τη μοναδική υποδομή ισχυρής ταυτοποίησης χρηστών. 

• Παρέχει τα εργαλεία για end-to-end υπηρεσίες ασφάλειας. 

• Έχουν ήδη δοθεί σε χρήση τα πρώτα 10.000 ψηφιακά πιστοποιητικά. 

• Υποστηρίζεται η κατεύθυνση των PKI-enabled εφαρμογών, αλλά η αξιοποίηση των πιστοποιητικών 

σε εφαρμογές βρίσκεται σε πρώιμο στάδιο. 

5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής 

Το Δίκτυο ‘Σύζευξις’ αποτελεί τη δικτυακή ραχοκοκαλιά και υποστηρίζει έμμεσα ή άμεσα ένα μεγάλο 

αριθμό υπηρεσιών της Δημόσιας Διοίκησης. Παρόλο που δεν σχετίζεται άμεσα με τον πολίτη, 

ως τελικό χρήστη, ουσιαστικά όλες οι συναλλαγές του πολίτη που σχετίζονται με τις συναλλαγές 

με τους φορείς που διασυνδέονται στο Σύζευξις, εξυπηρετούνται από την εν λόγω υποδομή. Χαρακτηριστικά 

παραδείγματα της εμβέλειας που έχει το Σύζευξις, όχι μόνο στην επικοινωνία μεταξύ 

φορέων, αλλά και μεταξύ Πολιτών και ΔΔ, είναι τα ΚΕΠ, το TAXISnet, τα Τελωνεία και τα Στρατολογικά 

γραφεία. 

Συνεπώς, το Δίκτυο Σύζευξις υποστηρίζει ταυτόχρονα: α) Υπηρεσίες ΔΔ προς τους πολίτες, β) Υ- 

πηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέων της ΔΔ και δ) Επικοινωνία, 

με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι λοιπόν σαφές ότι το δίκτυο 

Σύζευξις αποτελεί μια από τις σημαντικότερες Υποδομές της Δημόσια Διοίκησης. 

5.2.7 Ένταξη στις εθνικές ΠΕY 

Το ‘Σύζευξις’ αποτελεί το Εθνικό Δίκτυο της Δημόσιας Διοίκησης και ως εκ τούτου εντάσσεται 

στις εθνικές ΠΕΥ, στο πλαίσιο της ανάπτυξης της Κοινωνίας της Πληροφορίας. Το Δίκτυο Σύζευξις 

πληροί πολλούς από τους στόχους μιας εθνικής ΠΕΥ, όπως παρακάτω: 

Ο εκσυγχρονισμός των υποδομών. 

• Η παροχή προηγμένων τηλεματικών υπηρεσιών και υπηρεσιών προστιθέμενης αξίας, όπως οι 

προηγμένες υπηρεσίες δικτύωσης, τηλεφωνίας, τηλεδιάσκεψης, τηλεκπαίδευσης, απομακρυσμένης 

πρόσβασης, πιστοποίησης και ασφάλειας ηλεκτρονικών συναλλαγών. 

• Προώθηση της ευρυζωνικότητας, αφού το ‘Σύζευξις’ αποτελεί το πρώτο εγχείρημα παροχής 

ευρυζωνικών τηλεπικοινωνιακών υπηρεσιών μεγάλης κλίμακας στη Ελλάδα. 

• Η γεωγραφική διασπορά του έργου, το οποίο διασυνδέει φορείς-χρήστες σε όλη την ελληνική 

επικράτεια. 



123



• Η ενιαία, αποδοτική και αποτελεσματική διαχείριση των τηλεπικοινωνιακών δαπανών και η ε- 

νίσχυση της ανταγωνιστικότητας στους παρόχους τηλεπικοινωνιακών υπηρεσιών. 

5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής 

Για την αξιολόγηση του βαθμού κρισιμότητας του Δικτύου Σύζευξις, εφαρμόζονται τα κριτήρια 

κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα: 

• Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της 

ποιότητας μιας υπηρεσίας. 

• Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της 

ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της. 

• Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης. 

• Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, 

γεωγραφική ή λογική εξάρτηση). 

• Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά διαστηματα): 

η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν 

αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη 

διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της. 

• Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην ε- 

μπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο. 

• Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνητικών 

φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής. 

• Προσωπική ασφάλεια: Η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών. 

• Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσωπικών 

ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της 

νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης. 

Η ταξινόμηση των κριτηρίων αυτών περιγράφεται παρακάτω (Πίνακας 11). 

Εφαρμόζοντας τα κριτήρια στο ΟΠΣ/Δίκτυο ΣΥΖΕΥΞΙΣ, προκύπτουν τα ακόλουθα στοιχεία: 

1. Αριθμός χρηστών. Το Δίκτυο Σύζευξις αποτελεί τη ραχοκοκαλιά, όχι μόνο για την επικοινωνία 

μεταξύ φορέων, αλλά και για τις υπηρεσίες που απευθύνονται στους Πολίτες. Συνεπώς οι δυνητικοί 

χρήστες του Δικτύου είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική 

δυνατότητα και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγορία 

κρισιμότητας ‘Πολύ Υψηλή’. 

2. Οικονομική Επίπτωση. Το Δίκτυο Σύζευξις δεν υποστηρίζει άμεσες οικονομικές συναλλαγές 

και συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμογές 

τις οποίες υποστηρίζει. Οι εφαρμογές του Υπουργείου οικονομικών έχουν οικονομικό περιεχόμενο, 

αλλά εφόσον οι συναλλαγές έχουν διεκπεραιωτικό χαρακτήρα, δεν εμπεριέχουν άμεσες 

συναλλαγές και δεν αφορούν σε εμπορική δραστηριότητα, η επίπτωση κρίνεται ως ‘Χαμηλή’. 

3. Εμβέλεια. Το Δίκτυο παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητά του με βάση 

τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Υψηλή’. 



124




Αριθμός 

χρηστών 


Οικονομική 


Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή 

>100,000 άτομα 

10,000 έως 100,000 

άτομα 

1000 έως 10,000 

άτομα 

100 έως 1,000 

άτομα 

< 100 άτομα 

> €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ. 

Εμβέλεια Διεθνής Εθνική Περιφερειακή 

Βαθμός 

Αλληλοεξάρτησης 

Κρισιμότητα 

υπηρεσίας 

Εμπιστοσύνη 

της κοινής 

γνώμης 

Εφαρμογή 

πολιτικής και 

λειτουργία 

δημόσιου 

οργανισμού 

Προσωπική 

ασφάλεια 

Αποκάλυψη 

προσωπικών ή 

εμπιστευτικών 

πληροφοριών 

Συντριπτική επίδραση 

σε άλλες 

υποδομές/τομείς 

Υψηλό κόστος σε 

περισσότερους 

τομείς, Χρόνος 

ανάκαμψης πέραν 

του έτους 

Διεθνής αποδοκιμασία 

Σοβαρή παρεμπόδιση/ 

διακοπή 

της ανάπτυξης 

και εφαρμογής 

κυβερνητικών 

πολιτικών 

Απώλεια πολλών 

ανθρώπινων ζωών 

Σημαντική επίδραση 

σε άλλες υποδομές/- 

τομείς 

Υψηλό κόστος, Υψηλός 

απαιτούμενος χρόνος 

ανάκαμψης (βδομάδες-μήνες) 

Χαμηλή κυβερνητική 

αξιοπιστία σε εθνικό 

επίπεδο 

Υποβάθμιση της διαπραγματευτικής 

και 

συναλλακτικής δυνατοτητας 

της κυβέρνησης 

Απώλεια ανθρώπινης 

ζωής 

Αποκάλυψη ε- 

Παραβίαση νομοθεσίας, 

σοβαρή ενόχλη- 

μπιστευτικών κυβερνητικών 

πληροφοριώση 

πολλών ατόμων 

Τοπική (σε Τοπική (σε ένα 

πολλούς φορείς) φορέα) 

Μέτρια επίδραση σε Μικρή επίδραση 

Επίδραση μόνο σε 

άλλες υποδομές/ τομείδομές/ 

σε άλλες υπο- 

μία υποδομή/τομέα 

τομείς 

Μέτριο κόστος, Σημαντικός 

Χρόνος 

ανάκαμψης (μέρεςβδομάδες) 

Μέτρια κυβερνητική 

αξιοπιστία σε ε- 

θνικό επίπεδο 

Παρεμπόδιση της 

αποτελεσματικής 

ανάπτυξης και ε- 

φαρμογής των κυβερνητικών 


Σημαντικός τραυματισμός 

σε περισσότερα 

άτομα 


σοβαρή ενόχληση 

ενός ατόμου 

Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής 

Χαμηλό κόστος, 

Μικρός απαιτούμενος 

χρόνος 

ανάκαμψης 

(ώρες-μέρες) 

Απώλεια καλής 

φήμης πολλών 


οργανισμών/φορέων 

Αμελητέο κόστος, 

Μικρός απαιτουμενος 

χρόνος ανάκαμψης 

(ώρες) 


φήμης ενός κυβερνητικού 

οργανισμού/φορέα 

Υπονόμευση της 

Ανεπαρκής λειτουργία 

μέρους ε- 

σωστής διαχείρισης 

ή/και λειτουργίας 

δημο- 

νός δημοσίου οργανισμοσίου 


Μικρός τραυματισμός 

σε περισ- 


σε ένα άτομο 

σότερα άτομα 

Μικρή ενόχληση 


Μικρή ενόχληση ε- 

νός ατόμου 

4. Βαθμός αλληλοεξάρτησης: Το Δίκτυο Σύζευξις αποτελεί τη βασική υποδομή για τη λειτουργία 

ενός μεγάλου πλήθους υπηρεσιών της Δημόσιας Διοίκησης. Επιπλέον, έχει ως απώτερο στόχο 

την εξυπηρέτηση του συνόλου των υπηρεσιών και εφαρμογών που υποστηρίζουν τη ΔΔ. Συνεπώς 

η μη διαθεσιμότητα του Σύζευξις έχει συντριπτική επίπτωση στις υπηρεσίες που υποστηρίζει 

και έτσι η κρισιμότητα του Σύζευξις με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται 

ως ‘Πολύ Υψηλή’. 

5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του Δικτύου θα έχει υψηλό κόστος για τις 

υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για πολλές από αυτές δεν υπάρχει εναλλακτικός τρό- 



125



πος διεκπεραίωσης (π.χ. χειροκίνητη ανταλλαγή δεδομένων). Από την άλλη πλευρά η πιθανότητα 

συνολικής μη διαθεσιμότητας του δικτύου είναι μικρή, καθώς το δίκτυο είναι γεωγραφικά 

διάσπαρτο, εξυπηρετείται από διαφορετικούς παρόχους, διαθέτει εφεδρεία τηλεπικοινωνιακών 

γραμμών και δεν έχει ένα μοναδικό σημείο αποτυχίας. Συνεπώς η κρισιμότητα της υπηρεσίας 

χαρακτηρίζεται ‘Χαμηλή’ έως ‘Μέτρια'. 

6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένο το εύρος του Δικτύου στις υπηρεσίες ΔΔ και τον 

αριθμό των χρηστών του, εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας 

του Δικτύου θα επηρέαζε σημαντικά την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, 

η κρισιμότητα του ΟΠΣ με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται 

ως ‘Υψηλή’. 

7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνητικών 

φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβίαση 

κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, είναι σημαντική, καθώς θα επηρεαστεί η 

ομαλή λειτουργία περισσότερων του ενός φορέα, που πιθανά παρέχει κρίσιμες κυβερνητικές υ- 

πηρεσίες. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως 

‘Μέτρια’. 

8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών 

και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πολύ 

Χαμηλή’. 

9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπιστευτικότητας 

των διακινούμενων δεδομένων του Δικτύου και με δεδομένο το μεγάλο πλήθος 

των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής νομοθεσίας 

ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομένα είναι πιθανό να περιλαμβάνουν 

προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κατάστασης, δεδομενα 

υγείας, ιδιωτική επικοινωνία κλπ. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτηριο 

αυτό χαρακτηρίζεται ως ‘Υψηλή’. 

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ/Δίκτυο ΣΥΖΕΥ- 

ΞΙΣ αποτελεί βασικό σημείο επαφής μεγάλου αριθμού χρηστών, σε τεχνολογίες πληροφορικής 

και επικοινωνιών της δημόσιας διοίκησης, μέσω της χρήσης νέων τεχνολογιών, εκτιμάται ότι 

πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού συνόλου. 

Αυτό ενισχύεται και από το γεγονός ότι το ΣΥΖΕΥΞΙΣ εξελίσσεται σε υποδομή υποδομών για 

την παροχή ηλεκτρονικών υπηρεσιών. Συνεπώς η κρισιμότητα του ΣΥΖΕΥΞΙΣ, με βάση το 

κριτήριο αυτό, χαρακτηρίζεται ως Υψηλή. 

5.2.9 Συμπεράσματα 

Το δίκτυο ‘Σύζευξις’ αποτελεί τη ραχοκοκκαλιά των ηλεκτρονικών υπηρεσιών της Δημόσιας Διοίκησης. 

Το Δίκτυο υποστηρίζει την επικοινωνία μεταξύ των φορέων της ΔΔ μέσω της παροχής προηγμένων 

τηλεματικών υπηρεσιών με χαμηλό κόστος. Ταυτόχρονα, εξυπηρετεί έμμεσα τους πολίτες 

παρέχοντας την υποδομή για όλες τις ηλεκτρονικές συναλλαγές μεταξύ Πολιτών και ΔΔ. 

Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας 

κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση 

με τον αριθμό των χρηστών και το βαθμό αλληλεξάρτησης, όπως άλλωστε είναι αναμενόμενο, 

αφού το Σύζευξις αποτελεί τη βασική υποδομή για μια πληθώρα άλλων εφαρμογών. Υψηλή επίσης 

χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια του Δικτύου αλλά και στην Εμπιστοσύνη 

της κοινής γνώμης, αφού το Δίκτυο αφορά στο σύνολο της Ελληνικής Επικράτειας. Για τους ίδιους 



126



λόγους (αριθμός χρηστών και εμβέλεια) η επίπτωση κρίνεται ως υψηλή σε σχέση με την αποκάλυψη 

εμπιστευτικών ή προσωπικών πληροφοριών. 

Χαμηλές έως μέτριες κρίνονται οι οικονομικές επιπτώσεις, η κρισιμότητα της υπηρεσίας και η ε- 

φαρμογή της κυβερνητικής πολιτικής, ενώ το Δίκτυο δεν σχετίζεται άμεσα προς το παρόν με ζητηματα 

προσωπικής ασφάλειας. 

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το Δίκτυο ‘Σύζευξις’ αποτελεί ‘Κρίσιμη 

Υποδομή της Δημόσιας Διοίκησης’. 

5.3 TAXISnet 

5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας 

Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά το 

Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας, γνωστό ως TAXIS (TAX Information System). 

Το TAXIS αποτελεί το μεγαλύτερο έργο πληροφορικής στην Ελλάδα. Υλοποιήθηκε στο πλαίσιο 

του Επιχειρησιακού Προγράμματος "Κλεισθένης" του Β' Κ.Π.Σ., ενώ η προσαρμογή των εφαρμογών 

στο ευρώ υλοποιήθηκε στο πλαίσιο του Επιχειρησιακού Προγράμματος "Κοινωνία της Πληροφορίας" 

του Γ' Κ.Π.Σ. Στοχεύει στον εκσυγχρονισμό και τη βελτίωση της αποτελεσματικότητας 

των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών, την πάταξη της φοροδιαφυγής και 

τη βέλτιστη εξυπηρέτηση των πολιτών. 

Η τεχνολογική υποδομή του TAXIS αποτελείται από ένα ολοκληρωμένο on line δίκτυο 282 περιφερειακών 

υπολογιστών (ένας υπολογιστής-server για κάθε ΔΟΥ), 8.600 θέσεων εργασίας κατανεμημένων 

στις ΔΟΥ ανάλογα με το μέγεθός τους και ενός κεντρικού υπολογιστικού εξοπλισμού στη 

ΓΓΠΣ. Οι εφαρμογές του TAXIS δημιουργήθηκαν με σκοπό να αυτοματοποιήσουν και να αυτοματοποιήσουν 

το σύνολο των εργασιών των ΔΟΥ και εγκαταστάθηκαν σταδιακά σε παραγωγή από το 

Μάρτιο του 1998 έως τον Σεπτέμβριο του 2001 στο σύνολο των ΔΟΥ (282). 

Το σύστημα TAXIS έχει συμβάλει ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού 

Συστήματος τόσο σε τοπικό επίπεδο στις ΔΟΥ, όσο και σε επίπεδο κεντρικής διοίκησης. Με 

αυτόν τον τρόπο έχει επιφέρει σημαντικές τομές στην Ελληνική Δημόσια Διοίκηση. Ειδικότερα: 

Μέσα από το TAXIS θεσπίστηκε διαδικασία κατά την οποία ο φορέας (δημόσιοι οργανισμοί, συμβολαιογράφοι, 

τράπεζες κλπ.) ζητά και λαμβάνει αυτόματα Φορολογική Ενημερότητα για λογαριασμό 

του συναλλασσόμενου πολίτη. Κατ' αυτόν τον τρόπο, ο πολίτης δεν χρειάζεται να πάει στη 

ΔΟΥ, να ζητήσει την έκδοση ενημερότητας και να την προσκομίσει στο φορέα. 

Όλοι οι υπάλληλοι των ΔΟΥ, μετά από εκπαίδευση, έγιναν χρήστες του Πληροφοριακού Συστηματος 

TAXIS. Για πρώτη φορά, υπάλληλοι μίας υπηρεσίας, όλων των ηλικιών, κατάφεραν να αφομοιώσουν 

την τεχνολογία και να χρησιμοποιούν υπολογιστή για τη διεκπεραίωση των εργασιών 

τους. 

Μετά την ανάπτυξη του Πληροφοριακού Συστήματος TAXIS και τη δημιουργία των αναγκαίων η- 

λεκτρονικών υποδομών (Βάσεις Δεδομένων), αναπτύχθηκαν εναλλακτικοί τρόποι εξυπηρέτησης 

των πολιτών μέσω ηλεκτρονικών συναλλαγών στο Internet. 

Το TAXIS στην παρούσα φάση αναβαθμίζεται σημαντικά (επικαιροποίηση εφαρμογών - ανανέωση 

εξοπλισμού), αξιοποιώντας τα νέα τεχνολογικά πρότυπα των τελευταίων ετών τόσο στον τομέα της 



127



ανάπτυξης των εφαρμογών, όσο και στον τομέα του εξοπλισμού και της δικτύωσης των Η/Υ, με 

σκοπό πάντα την καλύτερη και ταχύτερη εξυπηρέτηση των πολιτών. 

Το ΟΠΣ Φορολογίας (TAXIS) που έχει αναπτύξει και λειτουργεί η ΓΓΠΣ παρουσιάζεται συνοπτικά 

στη συνέχεια: 

Η κεντρική υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω 

LAN με το TAXIS WAN (ΕΔΥΟ) και υποστηρίζει τα παρακάτω: 

• File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας 

• Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS. 

• Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server, προκαλεί δε φόρτο και 

στο LAN της ΓΓΠΣ. 

Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο 

FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched- 

Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο. 

Το υπάρχον σύστημα TAXIS είναι εγκατεστημένο κεντρικά στην ΓΓΠΣ και περιφερειακά σε 282 

ΔΟΥ. Περιλαμβάνει 18 υποσυστήματα. Τα υποσυστήματα αυτά διακρίνονται σε δύο μεγάλες κατηγορίες: 

• Κάθετης μορφής: Υποστηρίζουν συνήθως τη λειτουργία ενός τμήματος ή γραφείου της ΔΟΥ 

(όπως ΦΠΑ, Εισόδημα, ΦΜΑΠ, Δικαστικό, Κεφάλαιο, Πρωτόκολλο, ΚΒΣ, Έλεγχος, Οχήματα 

). 

• Οριζόντιας μορφής: Περιλαμβάνουν επεξεργασμένες πληροφορίες περισσοτέρων του ενός τμημάτων 

της ΔΟΥ (όπως Μητρώο, Έσοδα, Έξοδα, Λοιποί Φόροι, ΑΠΑΑ, Εικόνα φορολογουμενου, 

Διασταυρώσεις, Επιθεώρηση). 

Η ύπαρξη οριζοντίων υποσυστημάτων που αξιοποιούνται από πολλά άλλα υποσυστήματα, περιορίζει 

την δυνατότητα κατάτμησης των εφαρμογών (application partitioning) σε πολλαπλά συστήματα 

εξυπηρέτησης. 

Τεχνικές προδιαγραφές υποδομής TAXIS 

Το σύνολο των τεχνολογιών, όπως αυτές χρησιμοποιούνται παραγωγικά στο Ολοκληρωμένο Πληροφοριακό 

Σύστημα Φορολογίας (TAXIS) και οι αντίστοιχες εφαρμογές που έχουν χρησιμοποιηθεί 

είναι συνοπτικά οι παρακάτω: 

• Αρχιτεκτονική τριών επιπέδων (3 tier architecture). 

• Εργαλείο Ανάπτυξης NatStar 2.03. 

• Πλατφόρμα Λειτουργίας (Πίνακας 12). 

Ειδικά για τον εξοπλισμό του κεντρικού server (NILE 150), ισχύουν τα ακόλουθα: 

• Δώδεκα επεξεργαστές R4400 150 MHz. 

• Κεντρική μνήμη 3,5 GB. 

• Οκτώ υποσυστήματα δίσκων της εταιρείας Pyramid τεχνολογίας SCSI με συνολικά 192 

δίσκους των 4.5 GB σε διάταξη RAID-1 συνδεδεμένα μέσω SCSI interface με το σύστημα. 



128



• Ένα υποσύστημα δίσκων της εταιρείας EMC τεχνολογίας SCSI με συνολικά 20 δίσκους των 36 

GB σε διάταξη RAID-1 συνδεδεμένο μέσω SCSI interface με το σύστημα. 

• Ελεγκτές δικτύου τύπου FDDI και Ethernet. 

Επίσης, ο κεντρικός server συνοδεύεται από τον ακόλουθο περιφερειακό εξοπλισμό: 

• Σύστημα Αδιάλειπτης Λειτουργίας (UPS) της εταιρείας SICON 30 KVA. 

• Ένας UNIX server που επιτελεί λειτουργίες Systems και Network Management με χρήση του 

λογισμικού OpenΜaster της εταιρείας BULL καθώς και του λογισμικού Optivity της Nortel για 

την παρακολούθηση της λειτουργίας των συστημάτων και του δικτύου πανελλαδικά. 

• Υποσυστήματα Backup. 

Ο κεντρικός server, επιτελεί και τα δύο είδη επεξεργασίας (on-line και batch) που απαιτούνται για 

την λειτουργία του ΟΠΣ Φορολογίας. 

Στο πλαίσιο της υποστήριξης των μηχανογραφικών συστημάτων του, το ΥπΟΟ έχει δημιουργήσει 

στην Γενική Γραμματεία Πληροφοριακών Συστημάτων την υποδομή για όλα τα Κεντρικά Συστήματα. 

Η υποδομή αυτή καλύπτει σε αυτήν την φάση τις ανάγκες κεντρικής επεξεργασίας για τo Ο- 

λοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας (TAXIS), το Ολοκληρωμένο Πληροφοριακό 

Σύστημα Τελωνείων (ICIS), καθώς και για μία σειρά άλλα έργα (VIES, συντάξεις, μισθοδοσία, 

Προσωπικό, Τράπεζα νομικών πληροφοριών, Διαχείριση Αποθηκών κλπ). 

Το Κεντρικό Δίκτυο του ΓΓΠΣ που εξυπηρετεί τις ανάγκες δικτύωσης των συστημάτων του έργου 

TAXIS είναι βασισμένο στην τεχνολογία FDDI. Με την αρχιτεκτονική dual homing που έχει επιλεγεί 

το κεντρικό δίκτυο είναι προστατευμένο σε μεγάλο βαθμό απέναντι σε αστοχίες υλικού, καθώς 

για κάθε «μονοπάτι» υπάρχει και ένα τουλάχιστον εναλλακτικό το οποίο μπορεί να χρησιμοποιηθεί 

στην περίπτωση που το κύριο μονοπάτι δεν είναι διαθέσιμο για οποιονδήποτε λόγο. 

Σε επίπεδο εξοπλισμού το Κεντρικό Δίκτυο της ΓΓΓΠΣ αποτελείται από: 

• Τέσσερις δρομολογητές της εταιρείας Bay Networks τύπου BCN οι οποίοι απαρτίζουν το backbone 

του WAN δικτύου. 

• Δύο FDDI hubs της εταιρείας Nortel τύπου 5000 τα οποία εξυπηρετούν τη δημιουργία του 

dual-homing. 

• Ένα κεντρικό switch της εταιρείας CISCO τύπου 5000 το οποίο απαιτείται για τη λειτουργία 

του κεντρικού δικτύου τεχνολογίας Ethernet 100 Mbits. 

• Ένας αριθμός από περιφερειακά switches ορόφων της εταιρείας CISCO τα οποία συνδέονται 

στο κεντρικό switch. 

• Ένας μεγάλος αριθμός από hubs της εταιρείας CISCO τα οποία συνδέονται στα switches ορόφων. 

5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης 

Τα συστήματα που έχουν αναπτυχθεί ή βρίσκονται υπό ανάπτυξη από την ΓΓΠΣ (εσωτερικά ή σε 

συνεργασία με αναδόχους), καθώς και το αντίστοιχο περιβάλλον ανάπτυξης που χρησιμοποιείται, 

αναφέρονται στη συνέχεια (Πίνακας 12). 



129



Σύστημα 

Νέο περιβάλλον 

TAXIS 

Νέο περιβάλλον 

TAXISnet 

Υπάρχουσες Web ε- 

φαρμογές (Φόρος Εισοδήματος, 

Περαίωση) 

Batch Κεντρικές 

Εκτυπώσεις TAXIS 

Batch Διαδικασίες 

TAXIS 

Τεχνολογίες 

Ανάπτυξης 

Oracle Forms και Reports 

10g PL/SQL 

(σε μικρό ποσοστό 

JSP, JavaScript, html) 

J2EE (JSP’s, xml, java 

servlets) html, xml, web 

services, PL/SQL 

J2EE, PL/SQL 

Cobol και Oracle Reports 

Cobol 

Application 

Server Platform 

Oracle IAS10g 

Linux 

Oracle IAS10g 

Linux 

Oracle IAS10g 

Linux 

Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ 

Database/Operating 

System 

Oracle 10g/UNIX 


Oracle 7.3,4 



Παράλληλα με τους αυτοτελείς λειτουργικούς και επιχειρησιακούς στόχους που αφορούν την δημιουργία 

και αναβάθμιση υποδομών και εφαρμογών για την παροχή ηλεκτρονικών υπηρεσιών στο 

πλαίσιο των συστημάτων TAXIS και TAXISnet, αξίζει να σημειωθούν και οι γενικότεροι επιχειρησιακοί 

στόχοι της ΓΓΠΣ. Συγκεκριμένα, γενικότερη επιδίωξη της ΓΓΠΣ είναι: 

1. Η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης στον πολίτη, στις επιχειρήσεις και στη Δημόσια 

Διοίκηση. 

2. Η επίτευξη φορολογικής δικαιοσύνης και διαφάνειας. 

Για την επίτευξη των παραπάνω στόχων απαιτείται και δρομολογείται με τον παρόν έργο: 

• Η σταδιακή ενοποίηση των βάσεων δεδομένων σε όλο το φάσμα των πληροφοριακών συστημάτων 

που αναπτύσσει και υποστηρίζει (data integration). 

• Η σταδιακή ενοποίηση της διαχείρισης μητρώου χρηστών πληροφοριακών συστημάτων (identity 

integration). 

• H αξιοποίηση της υπάρχουσας τεχνογνωσίας και εσωτερικού δυναμικού ανάπτυξης με την 

χρήση κοινού περιβάλλοντος ανάπτυξης και διαχείρισης εφαρμογών και υπηρεσιών (integrated 

development platform). 

• Η συγκέντρωση και οργάνωση δεδομένων σε μία κοινή υποδομή αποθήκευσης και διαχείρισης 

δεδομένων (datacenter consolidation). 

Το έργο δομείται λογικά σε τρεις άξονες: 

1. Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ 

2. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών 

των Πολιτών μέσω διαδικτύου 

3. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών 

των Πολιτών μέσω ΔΟΥ 

Στη συνέχεια, αναλύουμε τον 1 ο άξονα του έργου, που αφορά το Κέντρο Δεδομένων της ΓΓΠΣ. 



130



Άξονας 1 – Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ 

Το σύστημα TAXIS παρέχει πληροφορίες στρατηγικής σημασίας για την Δημόσια Διοίκηση. Σαν 

αποτέλεσμα δημιουργείται η ανάγκη για την συστηματική παροχή στοιχείων φορολογίας από το 

TAXIS σε ΠΣ που συμπληρώνουν το κύκλωμα φορολογίας (π.χ. TAXISnet), σε άλλα ΠΣ του Υπ- 

ΟΟ (Ελεγκτικές Υπηρεσίες, Κεντρικές Υπηρεσίες Φορολογίας, Γενικό Λογιστήριο του Κράτους - 

ΓΛΚ) καθώς και σε τρίτους φορείς, βάσει των εξειδικευμένων αναγκών πληροφόρησης που έχει 

κάθε Υπηρεσία, διασφαλίζοντας παράλληλα τα ακόλουθα: 

• το μακροπρόθεσμο σχεδιασμό που θα λαμβάνει υπόψη την αναμενόμενη εξέλιξη της λειτουργίας 

της ΓΓΠΣ ως προς το εύρος των παρεχόμενων υπηρεσιών, το πλήθος των αποδεκτών των 

υπηρεσιών και το βάθος χρόνου ιστορικών δεδομένων. (επεκτασιμότητα, διαλειτουργικότητα 

υποδομών), 

• την συνολική αντιμετώπιση της ανάπτυξης νέων υποδομών της ΓΓΠΣ που θα επιτυγχάνει λειτουργικές 

και οικονομικές συνέργειες, 

• την ποιοτική και αποτελεσματική εξυπηρέτηση των ΠΣ και την επιχειρησιακή ταχύτητα, 

• ασφάλεια, ελεγχόμενη πρόσβαση δεδομένων, 

• την ελαχιστοποίηση χειρονακτικών ή μη αυτοματοποιημένων βημάτων μεταφοράς δεδομένων, 

καθώς και χρήσης αργών ή αναποτελεσματικών μεθόδων μεταφοράς, 

• την διαχείριση της συνεχώς αυξανόμενης ανάγκης για αποθήκευση δεδομένων, 

• την αποτελεσματική κεντρική διαχείριση του χώρου αποθήκευσης, που θα εξασφαλίζει υψηλή 

διαθεσιμότητα των δεδομένων και την συστηματική αντιμετώπιση κρίσεων (disaster recovery), 

• την οικονομική χρήση των υποδομών αποθήκευσης και την οικονομική λειτουργία και τεχνική 

υποστήριξη του συστήματος. 

Η εγκατεστημένη υποδομή στην ΓΓΠΣ (Datacenter ΓΓΠΣ) εκτιμάται ότι δεν μπορεί να ανταποκριθεί 

στις προαναφερθείσες ανάγκες, και πρέπει να αναβαθμιστεί για να εξυπηρετήσει πλήρως το α- 

ναπτυξιακό πλαίσιο του ΥπΟΟ. 

Η σκοπιμότητα του παρόντος άξονα εντοπίζεται εξετάζοντας τόσο το εσωτερικό όσο και το ευρύτερο 

περιβάλλον της ΓΓΠΣ. Εξετάζοντας το εσωτερικό της ΓΓΠΣ, κύριος στόχος είναι η ενίσχυση 

της επιχειρησιακής δυναμικότητας της ΓΓΠΣ, στην προσπάθεια ανάπτυξης νέων συστημάτων που 

θα καλύψουν το σύνολο των Υπηρεσιών του ΥπΟΟ. Με δεδομένες τις στρατηγικές επιλογές πληροφορικής, 

η δημιουργία Κέντρου Δεδομένων αποτελεί προϋπόθεση για την καλύτερη Επιχειρησιακή 

Υποστήριξη προς το ΥπΟΟ και την ανταπόκριση στις υποχρεώσεις του έναντι των άλλων 

Δημοσίων Φορέων και των Πολιτών. Επιπλέον, μέσω του συγκεκριμένου άξονα επιδιώκεται η υ- 

ψηλή διαθεσιμότητα φορολογικών στοιχείων, που διασφαλίζεται από την ανάπτυξη standby βάσης 

δεδομένων του TAXIS, από την οποία θα αντλούν στοιχεία τα άλλα ΠΣ και τρίτοι φορείς σε ελεγχόμενο 

πλαίσιο. Περαιτέρω, επιδιώκεται η μείωση κόστους λειτουργίας της κεντρικής υποδομής 

της ΓΓΠΣ με την αξιοποίηση νέων μεθόδων ανάπτυξης και παραγωγικής λειτουργίας. Τέλος, η 

αναβάθμιση του Κέντρου δεδομένων θα συμβάλλει στην αποδοτικότερη αξιοποίηση του Ανθρώπινου 

Δυναμικού της ΓΓΠΣ με την υιοθέτηση τεχνολογιών αιχμής και μεθόδων που περιορίζουν εργασίες 

χαμηλής προστιθέμενης αξίας και επιτρέπουν την εστίαση σε αναπτυξιακό έργο. Η κεντρική 

υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω LAN με το 

TAXIS WAN και υποστηρίζει τα παρακάτω: 

• File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας 



131



• Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS. 

• Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server. 

Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο 

FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched- 

Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο. 

5.3.3 TAXISnet 

Το έργο TAXISnet στο σύνολο του αφορά στην αναβάθμιση του εναλλακτικού καναλιού εξυπηρέτησης 

και διεκπεραίωσης συναλλαγών των πολιτών σε θέματα και πράξεις φορολογικού αντικειμένου. 

Το έργο εκμεταλλεύεται σύγχρονες τεχνολογίες παροχής διαδικτυακών υπηρεσιών, αξιοποιώντας 

τις δυνατότητες που παρέχει το πληροφοριακό σύστημα TAXIS για ανάπτυξη υπηρεσιών 

προστιθέμενης αξίας για τον οργανισμό και τον πολίτη. 

Γενικότερα, το έργο αφορά στην αναβάθμιση της επιχειρησιακής ικανότητας της κεντρικής υποδομής 

της ΓΓΠΣ με αξιοποίηση τεχνολογιών αιχμής και συγκεκριμένα την μετάβαση από το μοντέλο 

της διασποράς των δεδομένων και των εφαρμογών, που υιοθετήθηκε την προηγούμενη δεκαετία, 

σε ένα κεντρογενές μοντέλο. 

ΑΝΑΘΕΤΟΥΣΑ ΑΡΧΗ 

ΤΙΤΛΟΣ ΕΡΓΟΥ 

ΦΟΡΕΑΣ ΓΙΑ ΤΟΝ ΟΠΟΙΟ 

ΠΡΟΟΡΙΖΕΤΑΙ ΤΟ ΕΡΓΟ 

ΤΟΠΟΣ ΠΑΡΑΔΟΣΗΣ – 

ΤΟΠΟΣ ΠΑΡΟΧΗΣ 

ΥΠΗΡΕΣΙΩΝ 

ΕΙΔΟΣ ΣΥΜΒΑΣΗΣ 

ΕΙΔΟΣ ΔΙΑΔΙΚΑΣΙΑΣ 

ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ 

ΧΡΗΜΑΤΟΔΟΤΗΣΗ 

ΕΡΓΟΥ 

ΧΡΟΝΟΣ ΥΛΟΠΟΙΗΣΗΣ – 

ΔΙΑΡΚΕΙΑ ΕΡΓΟΥ 

«Κοινωνία της Πληροφορίας Α.Ε.» (ΚτΠ Α.Ε.) 

«TAXISnet:Εξοπλισμός-Κέντρο Διαχείρισης Δεδομένων Γ.Γ.Π.Σ» 

ΥΠΟΥΡΓΕΙΟ OIKONΟΜΙΑΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ 

Χώροι του ΥΠΟΟ πανελλαδικά 

Προμήθεια και εγκατάσταση Εξοπλισμού Πληροφορικής και Λογισμικού 

Ταξινόμηση κατά CPV: 30.25.00.00-6 Συστήματα Ηλεκτρονικών Υπολογιστών 

(Κωδικός CPA 30.30.0.30.02). 

Ανοικτός Διαγωνισμός με κριτήριο ανάθεσης την πλέον συμφέρουσα από 

οικονομική άποψη Προσφορά 

Ο συνολικός προϋπολογισμός του έργου ανέρχεται στο ποσό των 

7.776.440,64 €, συμπεριλαμβανομένου ΦΠΑ 19%. 

Το έργο χρηματοδοτείται από το Επιχειρησιακό Πρόγραμμα «Κοινωνία της 

Πληροφορίας», στο πλαίσιο του Γ’ ΚΠΣ, σε ποσοστό 75% από το ΕΤΠΑ 

και 25% από Εθνικούς Πόρους. Οι δαπάνες του έργου βαρύνουν το Πρόγραμμα 

Δημοσίων Επενδύσεων, ΣΑΕ 2003ΣΕ05130003 

9 μήνες από την υπογραφή της Σύμβασης 

Πίνακας 13: Ταυτότητα έργου TAXISnet 

Στόχος του συγκεκριμένου έργου είναι η υλοποίηση της απαραίτητης υποδομής για την παροχή 

των ηλεκτρονικών υπηρεσιών φορολογικής εξυπηρέτησης του Πολίτη, ώστε να επιτυγχάνεται η ταχεία 

και αποτελεσματική εξυπηρέτηση του φορολογουμένου, τόσο μέσω των ΔΟΥ όσο και μέσω 

του Διαδικτύου. 

Αναλυτικότερα οι γενικοί στόχοι της ΓΓΠΣ συνοψίζονται στα εξής: 



132



• Αντικατάσταση όλης της κεντρικής υποδομής (servers, storage, εσωτερικό δίκτυο), με νέα η ο- 

ποία θα έχει χαρακτηριστικά υψηλής διαθεσιμότητας, μεγάλης κλιμάκωσης-επεκτασιμότητας 

και αυξημένης απόδοσης και θα μπορεί να υποστηρίξει τα: 

o 

o 

Ενοποίηση (Consolidation) των υπαρχόντων servers της ΓΓΠΣ. 

Συγκέντρωση όλων των δεδομένων σε αποθηκευτική υποδομή (SAN), που θα μοιράζει 

αποθηκευτικούς χώρους δεδομένων σε όλους τους servers της ΓΓΠΣ. 

• Ενίσχυση της ασφάλειας πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα του ΥπΟΟ 

που φιλοξενούνται στη ΓΓΠΣ. 

• Κεντρικό έλεγχο -διαχείριση των συστημάτων, δικτύων και εφαρμογών. 

• Ομογενοποίηση των περιβαλλόντων ανάπτυξης και εκμοντερνισμός των εφαρμογών. 

• Ομογενοποίηση του λογισμικού περιβάλλοντος των συστημάτων. 

• Ενοποίηση του εσωτερικού δικτύου του ΥπΟΟ (ΙΝΤRΑΝΕΤ) με το Διαδίκτυο (INTERNET). 

• Ενοποίηση της βάσης φορολογικών δεδομένων που εξυπηρετεί τους χρήστες του INTERNET 

με αυτή που εξυπηρετεί τους χρήστες του INTRANET (μετά την ενίσχυση της ασφάλειας). 

• Δημιουργία disaster site και εκπόνηση σχεδίου συνέχειας της υπηρεσίας μετά από καταστροφή. 

Τα ανωτέρω πρόκειται να επιχειρηθούν σταδιακά και με προσοχή χωρίς να διαταραχθούν οι παρεχόμενες 

σήμερα υπηρεσίες και χωρίς να τροποποιηθούν οι υπάρχουσες εφαρμογές που θα συνυπάρχουν 

μέχρι να αντικατασταθούν από τις εφαρμογές νέας φιλοσοφίας που αναπτύσσονται ή θα 

αναπτυχθούν. 

Στο πλαίσιο του νέου TAXISnet, αναμένεται να υλοποιηθούν τα ακόλουθα: 

• Η αναβάθμιση του τοπικού δικτύου της ΓΓΠΣ. 

• Η αντικατάσταση των βασικών κεντρικών OLTP RDBMS servers του TAXIS με νέους, ισχυρότερους, 

υψηλής διαθεσιμότητας και επεκτασιμότητας. 

• Η προμήθεια των βασικών κεντρικών RDBMS servers του συστήματος ΤaxisNet, που θα εξασφαλίσουν 

υψηλή διαθεσιμότητα και επεκτασιμότητα. 

• Η δημιουργία κεντρικού αποθηκευτικού χώρου δεδομένων (SAN) που θα εξυπηρετεί τόσο τους 

υπό προμήθεια servers όσο και τους μελλοντικούς. 

• Η διαμόρφωση του SAN για τη βέλτιστη αξιοποίησή του. 

• Η προμήθεια Back-up συστήματος. 

• Η προμήθεια συστοιχίας Web/Application/LDAP servers, Δικτυακών συσκευών, Firewalls, 

IDSs, κλπ, για το TAXISnet και τη νέα έκδοση του Taxis, που βρίσκεται υπό ανάπτυξη. 

• Η προμήθεια λογισμικού κεντρικής διαχείρισης συστημάτων και δικτύων. 

• Η διαμόρφωση των RDBMS εξυπηρετών όσον αφορά την κατανομή των resources σε επιμέρους 

λογικά συστήματα, ένα από τα οποία, το μεγαλύτερο, θα εξυπηρετεί τις OLTP ανάγκες 

του οργανισμού (TAXIS, VIES), ένα θα εξυπηρετεί το TAXISnet, ένα θα εξυπηρετεί ανάγκες 

ανάπτυξης και ελέγχου και ένα θα εξυπηρετεί ένα σύνολο από τις υπόλοιπες εφαρμογές της 

ΓΓΠΣ (συντάξεις, μισθοδοσία, προσωπικό, αποθήκες, τράπεζα νομικών πληροφοριών κλπ.). 



133



Η μετάπτωση (porting) των υπόλοιπων εφαρμογών θα πραγματοποιηθεί αργότερα με αποκλειστική 

ευθύνη της υπηρεσίας. 

• Η μεταφορά των υπαρχόντων βάσεων δεδομένων των TAXIS και VIES από την τρέχουσα 

πλατφόρμα εγκατάστασης στο υπό προμήθεια SAN με ευθύνη του αναδόχου και με τη συνεργασία 

των στελεχών της ΓΓΠΣ. 

• Η μεταφορά των εφαρμογών από τα αντικαθιστώμενα κεντρικά συστήματα των TAXIS και 

VIES στα νέα. 

Για τις εφαρμογές αυτές σημειώνεται ότι: 

1. Στα κεντρικά αυτά συστήματα, κυρίως σήμερα, εκτός· από τις TUXEDO εφαρμογές που εξυπηρετούν 

την ανταλλαγή δεδομένων μεταξύ του κέντρου και των περιφερειακών υπηρεσιών ε- 

κτελούνται batch εφαρμογές που είναι γραμμένα σε COBOL, C, shell scripts ή sql scripts. 

2. Το λογισμικό υποδομής των νέων servers θα αποτελείται από τις νεότερες κατά το δυνατόν εκδόσεις, 

τόσο του προσφερόμενου λειτουργικού συστήματος (σύμφωνα με τις αντίστοιχες απαιτησεις), 

όσο και της ORACLE (οι εκδόσεις της Oracle θα είναι τουλάχιστον 10g και θα τις παραδώσει 

η υπηρεσία στον Ανάδοχο). Η μεταφορά των batch εφαρμογών στο νέο περιβάλλον 

καθώς και η επίλυση τυχόν ασυμβατοτήτων θα γίνει με ευθύνη του αναδόχου. 

3. Οι εφαρμογές του VIES είναι γραμμένες σε SQL Forms/Reports και λειτουργούν σε περιβάλλον 

Oracle Application Server 10g. Θα εγκατασταθούν στους νέους Application Servers (η έκδοση 

του Oracle Application Server θα είναι τουλάχιστον 10g και θα την παραδώσει η υπηρεσία 

στον Ανάδοχο). Στο VIES περιλαμβάνονται και on line C εφαρμογές (CCN/CSI) που θα 

μεταφερθούν στο κεντρικό σύστημα. 

4. Οι εφαρμογές της Φορολογίας Φυσικών Προσώπων και Περαίωσης που αποτελούν μέρος του 

Taxis και θα πρέπει να μεταφερθούν στα νέα web/application συστήματα. Οι εφαρμογές αυτές 

είναι αναπτυγμένες σε περιβάλλον J2EE και λειτουργούν σε περιβάλλον Οracle application 

server 10g. 

• Η προμήθεια ενός πρόσθετου RDBMS εξυπηρέτη και ενός δεύτερου μικρότερου σε χωρητικότητα 

SAN. Τα δύο αυτά στοιχεία επιθυμία της υπηρεσίας είναι να αποτελέσουν τη βάση δημιουργίας 

ενός disaster site. Ο ανάδοχος ζητείται να εκπονήσει μια μελέτη για τη δημιουργία και 

λειτουργία του disaster site όσο και σχεδίου συνέχειας της λειτουργίας της υπηρεσίας σε περίπτωση 

καταστροφής. Στη μελέτη αυτή ζητείται να αξιολογηθεί η αξιοποίηση των δύο αυτών 

στοιχείων και να δοθούν προδιαγραφές και κόστος για οτιδήποτε άλλο χρειάζεται σε Hardware 

και Software. Ο Φορέας υλοποίησης σε εύλογο χρονικό διάστημα δικαιούται αν το επιθυμεί να 

προχωρήσει στην υλοποίηση της πρότασης εφόσον εξασφαλίσει τους κατάλληλους χώρους, 

τους πόρους και τη δικτυακή υποδομή που θα προταθεί στη μελέτη ασφάλειας. 

• Η παροχή της εκπαίδευσης που απαιτείται καθώς και της υποστήριξης για το διάστημα παραγωγικής 

λειτουργίας του συστήματος. 

• Ο ανάδοχος ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση του εσωτερικού δικτύου 

της ΓΓΠΣ με το Internet καθώς και μελέτη Business Continuity Plan - Disaster Recovery 

Plan (BCP-DRP). Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ 

και βάσει των αποτελεσμάτων της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο 

πλαίσιο του παρόντος έργου τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσωτερικού 

δικτύου της ΓΓΠΣ με το Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια. 



134



Στα επόμενα σχήματα (Σχήμα 21, Σχήμα 22, Σχήμα 23) αποτυπώνεται ενδεικτικά η αρχιτεκτονική 

του νέου ΟΠΣ Taxis (μακροσκοπική και λεπτομερέστερη θεώρηση, αντίστοιχα). 

5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet 

Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά 

πληροφοριακά συστήματα που επιτρέπουν τη διεκπεραίωση συναλλαγών, τη χορήγηση εγγράφων 

και την παροχή πληροφοριών, μέσω του Internet. Αποτελέσματα αυτής της επιλογής είναι η συνεχής 

βελτίωση της εξυπηρέτησης των φορολογουμενων, πολιτών και επιχειρήσεων και η απλούστευση 

των ακολουθούμενων διαδικασιών. Παράλληλο όφελος είναι η εξοικονόμηση πόρων, με 

την απαλλαγή των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών από χρονοβόρες συναλλαγές. 

Τα επιμέρους πληροφοριακά συστήματα της ΓΓΠΣ και εφαρμογές που παρέχουν ηλεκτρονικές υ- 

πηρεσίες και αποβλέπουν στην ένταξη των πολιτών στο επίκεντρο της εξυπηρέτησης, συνιστούν το 

ΝΕΟ TAXISnet. 

ΝΕΟ TAXISnet 

• Υποβολή δηλώσεων μέσω ηλεκτρονικού υπολογιστή, χωρίς να είναι απαραίτητη η παρουσία 

του φορολογουμένου στη ΔΟΥ 

• Αποσυμφόρηση των ΔΟΥ, λόγω της μειωμένης προσέλευσης των πολιτών σε αυτές, με απότέλεσμα 

τη βελτίωση της εξυπηρέτησης του πολίτη. 

• Υποβολή δηλώσεων σε 24ωρη βάση, 7 μέρες την εβδομάδα. 

• Άμεση επικοινωνία και ενημέρωση του πολίτη μέσω ηλεκτρονικού ταχυδρομείου. 

• Αποτελεσματική προστασία όλων των διακινούμενων στο Internet προσωπικών δεδομένων. 



135



ISPs 

ISPs 

Internet 

Σχήμα 21: Data Center ΓΓΠΣ 

Web 

Υποδομή 

Internet 

SAN 

TAXIS cluster 

TaxisNet cluster 

Web 

Υποδομή 

Intranet 

DB server 1 

TaxisNet 

DB 

DB server 2 

Taxis 

DB 

Σταθμός 

Διαχείρισης 

SAN 

DB server 3 

Stand by 

TaxisDB 

DB servers 

Νέων ΠΣ 

Σύστημα Backup 

(Tape Library) 

WAN - ΣΥΖΕΥΞΙΣ 

(VPN-MPLS) 

High Speed LAN 

ΔΟΥ 

File και Print 

server 

UPS Υψηλής 

Διαθεσιμότητας 

Web Εφαρμογές 

TAXIS 



Τρίτοι 

Φορείς 

Τρίτοι 

Φορείς 

136



ISP1 

ISP2 

ΕΝΔΕΙΚΤΙΚΗ 

ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΥΠΟΔΟΜΗΣ 

Π.Σ.TAXISnet 

(INTERNET) 

ROUTER 1 ROUTER 2 

ISP LLB 

ISP LLB 

OUTSIDE DMZs 

DMZ 4 

ΓΓΠΣ USERS 

FIREWALL 1 

FIREWALL 2 

DMZ 1 DNS 

I 

D 

S 

1 

DMZ 3 HTTP SERVERS 

DMZ 2 

MAIL 

L.BALANCER 

L.BALANCER 

IDS 4 

SSL ACCELERATION 

HTTP SERVERS 

I 

D 

S 

2 

FIREWALL 3 

FIREWALL 4 

INSIDE DMZs 

DMZ 4 

ΓΓΠΣ 

ADMINISTRATORS 

DMZ 1 

DB SERVERS 

DMZ 2 

LDAP SERVERS 

DMZ 3 

APP. SERVERS 

IDS 3 

Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet 



137



INTRANET 

WAN 

‘ΣΥΖΕΥΞΙΣ’ 

ΕΝΔΕΙΚΤΙΚΗ 

ΑΡΧΙΤΕΚΤΟΝΙΚΗ 

ΥΠΟΔΟΜΗΣ 

DATACENTER 

(INTRANET) 

Routers 

Switch Διανο 

Core Switches 

DMZ 1 

DNS 

DMZ 2 

MAIL 

I 

D 

S 

1 

χ 

Virtual Firewalls, Load B 

SSL Accelerators 

DMZ 3 

HTTP 

DMZ 4 

ΓΓΠΣ USERS 

Virtual Firewalls 

OUTSIDE DMZs 

IDS 4 

Virtual Firewalls 

INSIDE DMZs 

DMZ 4 

ΓΓΠΣ 

ADMINISTRATOR 

DMZ 1 

DB SERVERS 

DMZ 2 

LDAP SERVERS 

DMZ 3 

APP. SERVERS 

I 

D 

S 

2 

IDS 3 

Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet 

Ηλεκτρονικές Υπηρεσίες που παρέχονται μέχω του Νέου ΤΑΧΙSnet 

Στο εξής περιγράφονται οι βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκησης 56,57 που παρέχει 

το Νέο TAXISnet, ενώ το επίπεδο εξέλιξης της κάθε υπηρεσίας αποτιμάται με βάση την κλίμακα: 

1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες 

2. Μονόδρομη Επικοινωνία (downloading εντύπων) 

3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση) 

4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής) 

5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών) 

56 European Commission, eGovernment Factsheets, “eGovernment in Greece”, Version 9.0, December 2007. 

57 Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”, 

Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007. 



138



Προς τους 

πολίτες 

Προς τις 

επιχειρήσεις 

ΥΠΗΡΕΣΙΑ 

Φόρος Εισοδήματος (δήλωση, 

ειδοποίηση εκκαθάρισης) 

Παρέχεται; 

Επίπεδο 

εξέλιξης 

√ 4 

Πλήθος χρηστών 

Εγγεγραμμένοι: 

2.000.000 

Υπέβαλλαν: 600.000 

Υπηρεσίες αναζήτησης εργασίας 

Εισφορές κοινωνικής ασφάλισης 

Προσωπικά έγγραφα 

(διαβατήρια, άδειες οδήγησης) 

Έκδοση οικοδομικής άδειας 

Δημόσιες βιβλιοθήκες 

(διαθεσιμότητα, εργαλεία 

αναζήτησης) 

Πιστοποιητικά (έκδοση, 

παραλαβή) 

√ 4 600.000 

Ανώτατη εκπαίδευση 

Υπηρεσίες υγείας 

(διαθεσιμότητα, ραντεβού) 

Εισφορές κοινωνικής ασφάλισης 

για τους εργαζομένους 

Φόρος επιχειρήσεων (δήλωση, 


ΦΠΑ επιχειρήσεων (δήλωση, 


√ 4 1.000.000 

Έναρξη επιχείρησης 

Υποβολή στοιχείων σε 

στατιστικές υπηρεσίες 

Περιβαλλοντικές άδειες 

ΦΜΥ √ 4 1.000.000 

Τελωνεία – Σύστημα VIES √ 4 

Υπολογισμός Αξίας Ακινήτου √ 1 

Παρέχεται προς 

όλους 

Στοιχεία Οχημάτων √ 1 


όλους 

Έντυπα √ 2 


όλους 

Έκδοση Φορολογικής 


√ 1 

Ενημερότητας 

όλους 

Ενημέρωση Εκκαθάρισης 


√ 1 

Δήλωσης στο κινητό τηλέφωνο 

όλους 

Ενημέρωση Εκκαθάρισης 

Δήλωσης 

√ 1 

Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης 


όλους 

Θα πρέπει να σημειωθεί ότι δεν υπάρχει συστηματικός τρόπος παρακολούθησης της κίνησης των ε- 

πισκεπτών για τις παρεχόμενες πληροφοριακές υπηρεσίες. 



139



5.3.5 Υφιστάμενο επίπεδο ασφάλειας 

Έχει διεξαχθεί ανάλυση επικινδυνότητας του TAXIS από ειδική Πανεπιστημιακή Ομάδα (Οικονομικό 

Πανεπιστήμιο Αθηνών), η οποία είναι σε ισχύ. Επιπρόσθετα, υπάρχει καταγεγραμμένη πολιτική 

και μετρα ασφάλειας που συνδέονται με την ανάλυση επικινδυνότητας. Η εφαρμογή των σχετικών 

μετρων γίνεται μερικώς. Δεν είναι γνωστή αντίστοιχη καταγεγραμμένη ανάλυση/πολιτική/μετρα 

ασφάλειας για το TAXISnet. 

Ο ανάδοχος του έργου του Data Center ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση 

του εσωτερικού δικτύου της ΓΓΠΣ με το Internet καθώς και μελέτη BCP-DRP. 

Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ και βάση των αποτελεσμάτων 

της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο πλαίσιο του παρόντος έργου 

τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσωτερικού δικτύου της ΓΓΠΣ με το 

Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια. 

Οι ανάδοχοι για το έργο του Τεχνικού Συμβούλου Υποστήριξης (ΤΣΥ) είναι η Διαδικασία και το 

ΕΠΙΣΕΥ. Το έργο εκτιμάται ότι θα ολοκληρωθεί στις αρχές του 2009. 

5.3.5.1 Ανάλυση πληροφοριακού κινδύνου 

Δεν υπάρχει επικαιροποιημένη μελέτη Αποτίμησης Επικινδυνότητας του συνολικού συστήματος 

TAXIS και TAXISnet με τις όποιες προσθήκες και βελτιώσεις τους. Η πλήρης και επικαιροποιημενη 

μελέτη θα γίνει από τον ανάδοχο του έργου του Data Center. Η τελική κατακύρωση του έργου 

έχει παραπεμφθεί στο ελεγκτικό συμβούλιο και εκκρεμεί (Μάιος 2008). 

Σύνταξη και εφαρμογή Πολιτικής Ασφάλειας 

Υπάρχει η πολιτική ασφάλειας, αλλά η εφαρμογή της γίνεται μερικώς και δεν υπάρχει επαρκής κεντρικός 

συντονισμός. Υπάρχει τυπικά η έννοια του System Owner, ενώ υπάρχουν και άλλοι υπεύθυνοι 

ανάλογα με τα συγκεκριμένα τμήματα που χειρίζονται τα διαφορετικά υποσυστήματα. Δεν 

υπάρχει καταγεγραμμένη θέση Security Officer, ενώ δεν υπάρχουν καταγεγραμμένοι ρόλοι, υπευθυνότητες 

και αρμοδιότητες κλπ., οι οποίοι να τηρούνται επαρκώς. 

Υλοποιημένα μέτρα ασφάλειας 

Το TAXISnet θα υλοποιηθεί με την ίδια τεχνολογία για όλες τις συνιστώσες του και συνολική, 

κεντρικοποιημένη προσέγγιση. Στην προηγούμενη κατάσταση (TAXIS και TAXISnet σαν ξεχωριστά 

συστήματα) υπήρχαν δύο υπεύθυνοι συστημάτων. Το Τμήμα Πληροφορικής και οι τεχνικοί υ- 

πεύθυνοι τμημάτων υλοποιούν τα όποια μέτρα ασφάλειας είναι σε ισχύ. 

Δεν υπάρχει τμήμα Εσωτερικού Ελέγχου (που να διενεργεί ταυτόχρονα και ελέγχους ΠΣ) ή άτυπη 

ομάδα μέχρι τώρα με αυτά τα καθήκοντα. Αυτή η ανάγκη εντοπίστηκε στη μελέτη ενοποίησης συστημάτων. 

Τέλος, σχετικά με τον εξωτερικό έλεγχο ασφάλειας, δικτύων κλπ, θα πραγματοποιηθούν κάποια 

vulnerability tests στο πλαίσιο του έργου του Συμβούλου (όταν το νέο σύστημα υλοποιηθεί). 

5.3.5.2 Σχέδιο Ανάκαμψης από Καταστροφή – Σχέδιο Συνέχειας Λειτουργίας 

Στο RFP για το Datacenter έχει προδιαγραφεί μελέτη με αντικείμενο το απαιτούμενο Βusiness 

Continuity Plan και disaster center της ΓΓΠΣ, και Εκπόνηση Σχεδίου Ανάκαμψης από Κατάστροφές 

(Disaster Recovery Plan). Στο υποσύστημα Διαχείρισης Δεδομένων έχουν προδιαγραφεί: 



140



1. Υποδομή αποθήκευσης δεδομένων SAN (Storage Area Network) καθώς και δεύτερο για τις 

ανάγκες δημιουργίας ενός κέντρου Disaster Recovery. 

2. Λογισμικό ασφάλειας, λογισμικό διαχείρισης του SAN. 

3. Backup unit υψηλών επιδόσεων που θα αναλάβει το backup του συνόλου των ωφέλιμων δεδομενων 

που αποθηκεύονται στο SAN, και λογισμικό διαχείρισης backup μέσω SAN. 

Οι απαιτήσεις για υψηλή διαθεσιμότητα για το TAXISnet είναι καθολικές καθ’ όλη τη διάρκεια του 

έτους, αλλά πολύ περισσότερο κατά το διάστημα της υποβολής φορολογικών δηλώσεων (κύρια 

κατά την περίοδο Μαρτίου-Μαΐου κάθε έτους). 

Σαν εναλλακτική τοποθεσία του συστήματος σε περίπτωση καταστροφής (backup site) ενδέχεται 

να προταθεί χώρος ιδιοκτησίας του Υπουργείου Οικονομίας και Οικονομικών. 

Διασυνδέσεις με άλλα συστήματα και δίκτυα: 

• Κεντρικό σύστημα Τελωνείων (ICIS) με το Ευρωπαϊκό σύστημα διασυνοριακής μετακόμισης 

εμπορευμάτων. Η ανταλλαγή δεδομένων γίνεται μέσω EDIFACT μηνυμάτων με το σύστημα 

διαμετακόμισης / TIR / Carnet ATA. Η υλοποίηση της ηλεκτρονικής επικοινωνίας του ICIS με 

την Ε.Ε. επιτυγχάνεται με προγράμματα και scripts σε C με κλήσεις στο CCN/CSI (CCN/CSI 

libraries). 

• Εσωτερική διασύνδεση TAXIS – TAXISNET. 

• Εσωτερική διασύνδεση ΔΟΥ με ΓΓΠΣ – TAXIS. 

• Εσωτερική διασύνδεση Τελωνείων με ΓΓΠΣ – ICIS. 

Εξάρτηση από τρίτους φορείς για παροχή υπηρεσιών: 

Το TAXIS εξαρτάται από τρίτους φορείς για την παροχή υπηρεσιών μόνο όσον αφορά τη δικτυακή 

υποδομή διασύνδεσης (ΣΥΖΕΥΞΙΣ) με της αποκεντρωμένες υπηρεσίες για ΔΟΥ και Τελωνεία που 

λειτουργεί από εταιρείες του ιδιωτικού τομέα (ALTEC TELECOMS, FORTHNET, HOL, OTE). 

Υπαγωγή σε ρυθμιστικούς / ελεγκτικούς / εποπτικούς φορείς: 

Τα TAXIS-TAXISNET υπόκεινται στην εφαρμογή Κανονιστικών/Ρυθμιστικών πλαισίων των κάτωθι 

ρυθμιστικών /ελεγκτικών/εποπτικών φορέων: 

Φορέας 

Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών 

(ΑΔΑΕ) 

Αρχή Προστασίας Δεδομένων Προσωπικού 

Χαρακτήρα (ΑΠΠΔ) 

Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων 

(ΕΕΤΤ) 

Λόγος υπαγωγής 

Λειτουργία του δικτύου 

Φορολογικά στοιχεία που υποβάλλονται 

Πάροχοι υπηρεσιών δικτύου 

5.3.5.3 Ένταξη σε στρατηγικό πλαίσιο προστασίας κρίσιμων υποδομών 

Δεν υπάρχει παρόμοια δράση ή πρόβλεψη ένταξης σε σχετική δράση για το άμεσο μέλλον. 



141



5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις 

Συνοπτικά, οι ελλείψεις και οι προτεινόμενες δράσεις για τα TAXIS – TAXISnet καταγράφονται 

ως εξής: 

Έλλειψη 

Ένταξη σε στρατηγικό πλαίσιο προστασίας 

κρίσιμων υποδομών 

Επικαιροποιημένη Αποτίμηση Επικινδυνότητας, 

Πολιτική Ασφάλειας και Μέτρα Ασφάλειας 

Εσωτερικός Έλεγχος 

Περιοδικοί έλεγχοι επάρκειας υλοποίησης 

μέτρων ασφάλειας 

Προτεινόμενες δράσεις 

Να ενταχθεί σε σχετικό πλαίσιο. 

Επικαιροποίηση της Αποτίμησης Επικινδυνότητας, 

Πολιτικής και Μέτρων Ασφάλειας. 

Δημιουργία τμήματος Εσωτερικού Ελέγχου 

(μπεριλαμβανομένων και των ΠΣ). 

Περιοδικοί έλεγχοι επάρκειας υλοποίησης μετρων 

ασφάλειας από ανεξάρτητο φορέα. 

Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής 

5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής 

Το TAXIS – TAXISnet αποτελεί ένα κομβικό έργο στην ιστορία της Δημοσίας Διοίκησης στην 

Ελλάδα, συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού Συστηματος 

τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης. Εκτός από τις υπηρεσίες 

που προσφέρει στο προσωπικό του συστήματος για καθημερινές και λειτουργικές δραστηριότητες 

που σχετίζονται με την ανάκτηση στοιχείων, συγκεντρωτικών εκθέσεων και παρακολούθησης 

των φορολογικών θεμάτων, υποστηρίζονται και υπηρεσίες ανταλλαγής Φορολογικής Ενημερότητας 

μεταξύ φορέων για λογαριασμό του συναλλασσόμενου πολίτη. Περαιτέρω, προσφέρει ένα 

αριθμό άμεσα προαβάσιμων υπηρεσιών στους πολίτες, διευκολύνοντας την αλληλεπίδρασή τους με 

τις φορολογικές υπηρεσίες και μέσω εναλλακτικών δικτύων όπως το Διαδίκτυο (μέσω TAXISnet). 

Συνεπώς, το TAXIS – TAXISnet υποστηρίζει ταυτόχρονα: α) άμεσςες και έμμεσες υπηρεσίες ΔΔ 

προς τους πολίτες, β) Υπηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέων 

της ΔΔ και δ) Επικοινωνία, με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι σαφές 

ότι το TAXIS – TAXISnet αποτελεί μια πολύ σημαντική υποδομή της Δημόσιας Διοίκησης. 


Για την αξιολόγηση του βαθμού κρισιμότητας του TAXIS – TAXISnet, εφαρμόζονται τα κριτήρια 


• Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της 

ποιότητας μιας υπηρεσίας. 



• Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης. 



142



• Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, 

γεωγραφική ή λογική εξάρτηση). 

• Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά 

διαστήματα): η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη 

πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται 

με την διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της. 

• Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην 

εμπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο. 

• Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνητικών 

φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής. 

• Προσωπική ασφάλεια: η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών. 


ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της 

νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης. 

Ο Πίνακας 16 περιγράφει την ταξινόμηση των παραπάνω κριτηρίων (με διαφορετικό χρώμα σημειώνονται 

οι σχετικές αποτιμήσεις). 








>100,000 άτομα 

10,000 έως 100,000 

άτομα 

1000 έως 10,000 

άτομα 

100 έως 1,000 

άτομα 

< 100 άτομα 

> €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ. 

Εμβέλεια Διεθνής Εθνική Περιφερειακή 

Βαθμός 

Αλληλοεξάρτησης 

Κρισιμότητα 

υπηρεσίας 

Εμπιστοσύνη 


γνώμης 




δημόσιου 

Συντριπτική επίδραση 



Υψηλό κόστος σε 

περισσότερους 

τομείς, Χρόνος 

ανάκαμψης πέραν 

του έτους 

Διεθνής αποδοκιμασία 

Σοβαρή παρεμπόδιση/διακοπή 

της ανάπτυξης 

και εφαρμογής 

Τοπική (σε Τοπική (σε ένα 

πολλούς φορείς) φορέα) 

Σημαντική επίδραση Μέτρια επίδραση σε Μικρή επίδραση 

Επίδραση μόνο σε 

σε άλλες υποδομές/τομείς 

τομείς 

άλλες υποδομές/ σε άλλες υποδομές/τομείς 

μία υποδομή/τομέα 

Υψηλό κόστος, Υψηλός 

απαιτούμενος χρόνος 


(εβδομάδες – μήνες) 

Χαμηλή κυβερνητική 

αξιοπιστία σε εθνικό 


Υποβάθμιση της διαπραγματευτικής 

και 

συναλλακτικής δυνατοτητας 

της κυβέρνη- 

Μέτριο κόστος, Σημαντικός 

Χρόνος α- 

νακαμψης (μέρες – 

εβδομάδες) 

Μέτρια κυβερνητική 

αξιοπιστία σε ε- 

θνικό επίπεδο 



χρόνος 


(ώρες – μέρες) 


φήμης πολλών 


οργανισμών/ 

φορέων 




(ώρες) 


φήμης ενός κυβερνητικού 


Παρεμπόδιση της Υπονόμευση της Ανεπαρκής λειτουργία 

μέρους ε- 

απότελεσματικής α- σωστής διαχείρισης 

ή/και λει- 

νός δημοσίου ορ- 

ναπτυξης και εφαρμογής 

των κυβερνη- τουργίας ενός γανισμού 



143









προσωπικών ή 

εμπιστευτικών 






ανθρώπινων ζωών 

σης τικών πολιτικών δημοσίου οργανισμού 


ζωής 

Αποκάλυψη ε- 



μπιστευτικών κυβερνητικών 



Σημαντικός τραυματισμός 

πολλών 

ατόμων 





σε περισ- 


ενός άτομου 

σότερα άτομα 



Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet 

Εφαρμόζοντας τα παραπάνω κριτήρια στο TAXIS – TAXISnet, προκύπτουν τα ακόλουθα: 



1. Αριθμός χρηστών: Το TAXIS – TAXISnet αποτελεί τη βασική πλατφόρμα για τις φορολογικές 

υπηρεσίες που απευθύνονται στους Πολίτες. Θα πρέπει να σημειωθεί ότι επί του παρόντος 

οι εγγεγραμμένοι χρήστες του συστήματος ανέρχονται σε 2.000.000, ενώ εξ αυτών οι χρήστες 

που υπέβαλλαν φορολογικές δηλώσεις μέσω του TAXISnet ανέρχονται περίπου σε 600.000. Οι 

δυνητικοί χρήστες του είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική δυνατοτητα 

και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγορία 

κρισιμότητας ‘Πολύ Υψηλή’. 

2. Οικονομική Επίπτωση: Το TAXIS – TAXISnet υποστηρίζει άμεσες οικονομικές συναλλαγές 

(υπό την έννοια της δήλωσης φορολογικών στοιχείων και τυχόν επιστροφών στους δικαιούχους 

μέσω τράπεζικού λογαριασμού), και συνεπώς τυχόν δυσλειτουργίες του συστήματος έχουν ά- 

μεσες επιπτώσεις για τις εφαρμογές τις οποίες υποστηρίζει. Συνεπώς το κριτήριο εμπίπτει στην 

κατηγορία κρισιμότητας ‘Πολύ Υψηλή’. 

3. Εμβέλεια: Το TAXIS – TAXISnet παρέχει υπηρεσίες σε εθνικό και διεθνές επίπεδο. Συνεπώς 

η κρισιμότητά του με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Πολύ Υψηλή’. 

4. Βαθμός αλληλοεξάρτησης: Το TAXIS – TAXISnet αποτελεί το εθνικό Φορολογικό Σύστημα 

και ως απώτερο στόχο έχει την εξυπηρέτηση του συνόλου των πολιτών που το χρησιμοποιούν 

είτε άμεσα, είτε διευκολύνονται από τις υπηρεσίες του (πχ. μέσω της ανταλλαγής Φορολογικής 

Ενημερότητας για λογαριασμό του πολίτη μεταξύ Φορέων). Συνεπώς η μη διαθεσιμότητα του 

TAXIS – TAXISnet έχει σημαντική επίπτωση στις υπηρεσίες που υποστηρίζει και έτσι η κρισιμότητα 

του με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως ‘Υψηλή’. 

5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του TAXIS – TAXISnet θα έχει σχετικά 

χαμηλό κόστος για τις υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για σχεδόν όλες υπάρχει εναλλακτικός 

τρόπος διεκπεραίωσης (πχ. χειροκίνητη ανταλλαγή δεδομένων, κατάθεση φορολογικών 

στοιχείων κλπ.). Επιπρόσθετα, ο απαιτούμενος χρόνος ανάκαμψης εκτιμάται ότι είναι σχετικά 

μικρός (μερικές ώρες). Το χειρότερο δυνατό σενάριο (πχ. η αποτυχία του συστήματος εν 

μεσω περιόδου κατάθεσης φορολογικών δηλώσεων) μπορεί να αντιμετωπιστεί με τη φυσική 

παρουσία των φορολογουμένων στις εφορίες, με χειροκίνητη ανταλλαγή δεδομένων κλπ. Συνεπώς 

η κρισιμότητα της υπηρεσίας χαρακτηρίζεται ως ‘Χαμηλή’. 



144



6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένη την αναγνωρισιμότητα του συστήματος, το βαθμό 

ενθάρρυνσης της χρήσης του από την Πολιτεία και τον αριθμό των χρηστών του, εκτιμάται 

ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του συστήματος θα επηρέαζε σημαντικά 

την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του TAXIS – 

TAXISnet με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως ‘Μέτρια’. 

7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνητικών 


κάποιας συνιστώσας της ασφάλειας του TAXIS – TAXISnet, είναι σημαντική, καθώς θα 

επηρεαστεί η ομαλή λειτουργία περισσότερων του ενός φορέα (με προεξάρχουσες τις φορολογικές 

υπηρεσίες), που πιθανά παρέχει κρίσιμες κυβερνητικές υπηρεσίες. Περαιτέρω, παρεμποδίζεται 

η εφαρμογή των κυβερνητικών πολιτκιών για χρήση των υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 

από τους πολίτες με επακόλουθο κόστος σε χρόνο απασχόλησης του προσωπικού 

των υπηρεσιών, αυξημένο χρόνο αναμονής εξυπηρέτησης των πολιτών κλπ. Συνεπώς, η κρισιμότητα 

του TAXIS – TAXISnet με βάση το κριτηριο αυτό χαρακτηρίζεται ως ‘Μέτρια’. 

8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών 

και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πολύ 

Χαμηλή’ ή ανύπαρκτη. 


των διακινούμενων δεδομένων του TAXIS – TAXISnet και με δεδομένο το 

μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής 

νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομενα είναι πιθανό 

να περιλαμβάνουν προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κατάστασης, 

δεδομενα υγείας κλπ. Συνεπώς, η κρισιμότητα του TAXIS – TAXISnet με βάση το 

κριτηριο αυτό χαρακτηρίζεται ως ‘Υψηλή’. 

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το TAXIS – TAXISnet α- 

ποτελεί βασικό σημείο επαφής μεγάλου αριθμού πολιτών, σε τεχνολογίες πληροφορικής και 

επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατιας και 

της αποτελεσματικής εξυπηρέτησης των πολιτών, μέσω της χρήσης νέων τεχνολογιών, εκτιμάται 

ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού 

συνόλου. Αυτό ενισχύεται και από το γεγονός ότι χρήστες του TAXIS-TAXISnet είναι ένας 

μεγάλος αριθμός από πολίτες, αριθμός που ακολουθεί αυξητική τάση, από χρόνο σε χρόνο. Συνεπώς 

η κρισιμότητα του TAXIS-TAXISnet, με βάση το κριτήριο αυτό, χαρακτηρίζεται ως Υ- 

ψηλή. 


Το TAXIS – TAXISnet συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού 

Συστήματος τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης. 

Το σύστημα επιτρέπει τη συλλογή, επεξεργασία και διατήρηση των φορολογικών δεδομένων των 

πολιτών και την υποστήριξη των τελωνείων της χώρας. Περαιτέρω, εξυπηρετεί άμεσα τους πολίτες 

παρέχοντας άμεση πρόσβαση σε ένα αριθμό από υπηρεσίες Ηλεκτρονικής Διακυβέρνησης που σχετιζονται 

με φορολογία και τελωνεία. 



με τον αριθμό των Χρηστών, τις Οικονομικές Επιπτώσεις και την Εμβέλεια του συστήματος. Υψη- 



145



λές χαρακτηρίζονται οι επιπτώσεις που σχετίζονται με το Βαθμό Αλληλεξάρτησης, όπως και με την 

Αποκάλυψη Εμπιστευτικών ή Προσωπικών Πληροφοριών, με δεδομένο τον αριθμό των χρηστών 

καθώς και το γεγονός ότι το σύστημα καλύπτει το σύνολο της Ελληνικής Επικράτειας. 

Μέτριες έως χαμηλές κρίνονται οι επιπτώσεις που αφορούν στην Εμπιστοσύνη της Κοινής Γνώμης, 

στην Εφαρμογή της Κυβερνητικής Πολιτικής και στην Κρισιμότητα ης Υπηρεσίας, ενώ το Δίκτυο 

δεν σχετίζεται άμεσα προς το παρόν με ζητηματα Προσωπικής Ασφάλειας. 

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το TAXISnet αποτελεί ‘Κρίσιμη Υποδομή 

της Δημόσιας Διοίκησης’. 

5.4 Data Centers ΚτΠ ΑΕ 

Στις νέες εγκαταστάσεις της ΚτΠ Α.Ε. (Ηλιουπόλεως 2, Υμηττός) υπάρχουν ειδικά διαμορφωμένοι 

χώροι (Data Centers) στους οποίους φιλοξενείται εξοπλισμός Πληροφοριακών Συστημάτων της 

Δημόσιας Διοίκησης. Προς το παρόν έχουν διαμορφωθεί και λειτουργούν δύο χώροι (Data Center 

1 - DC1, Data Center 2 - DC2) στο υπόγειο του κτηρίου (-1ος όροφος), ενώ προβλέπεται η δημιουργία 

ενός τρίτου (Data Center 3 - DC3), όπου η τοποθεσία και οι προδιαγραφές δεν έχουν οριστικοποιηθεί. 

Ως πιο πιθανή εκτιμάται η δημιουργία του, επίσης στο υπόγειο της ΚτΠ Α.Ε., στο 

επίπεδο του -1ου ορόφου. 

Τα δύο υπάρχοντα Data Centers παρέχουν υποδομή και στεγάζουν εξοπλισμό για τη λειτουργία 

των παρακάτω έργων της Δημόσιας Διοίκησης (Πίνακας 17:). 

Έργο 

ΡΑΠΤΑΡΧΗΣ 

Δορυφόρος Λογαριασμός 

Τουρισμού/Παρατηρητήριο 

Τουρισμού 

ΥΛΠΗΣΔΕΔ 

Ηλεκτρονική 

Πολεοδομία II 

ΑΜΕΑ 

ΟΠΣΝΑ Εμπόριο/ΑΕ 

ΟΠΣΝΑ Υγεία/Πρόνοια 

ΟΠΣΝΑ Πολεοδομία Ι 

Τρέχουσα 

Κατάσταση 

Eγκατεστημένο 

Eγκατεστημένο 

Φορέας Λειτουργίας 

Υπηρεσία Διαχείρισης Διαρκούς 

Κώδικα Νομοθεσίας (ΥΠΕΣ) 

Yπουργείο Τουριστικής Ανάπτυξης 

Εθνικό Κέντρο Δημόσιας Διοίκησης 

και Αυτοδιοίκησης 

Πολεοδομικές Υπηρεσίες 

Ινστιτούτο Κοινωνικής Προστασίας 

και Αλληλεγγύης (ΙΚΠΑ) 

Νομαρχιακές Αυτοδιοικήσεις 

Νομαρχιακές Αυτοδιοικήσεις 

Πολεοδομικές Υπηρεσίες 

Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ 

Data 

Center 

Ενδέχεται/προγραμματίζεται στο μέλλον να προστεθεί ο εξοπλισμός των παρακάτω έργων, καθώς 

και να δημιουργηθεί και ένα τρίτο Data Center: 

DC2 

DC1 



146



Έργο Τρέχουσα Κατάσταση Φορέας Λειτουργίας 

ΔΥΠΕ Ιονίων Νήσων 

ΔΥΠΕ Δυτικής Ελλάδας 

ΔΥΠΕ Πελοποννήσου 

Εθνική Πύλη ΕΡΜΗΣ 

Σχεδίαση για Δάση και 

Υδάτινους Πόρους 

Σε παραγωγική λειτουργία, 

εγκατεστημένο στο φορέα 

λειτουργίας 







Υπό ανάπτυξη και υπό 

εγκατάσταση 

Αναμένεται στα τέλη 2008 

ΔΥΠΕ ΙΟΝΙΩΝ 

ΝΗΣΩΝ 

ΔΥΠΕ ΔΥΤΙΚΗΣ 

ΕΛΛΑΔΑΣ 

ΔΥΠΕ 

ΠΕΛΟΠΟΝΝΗΣΟΥ 

ΥΠΕΣ 

ΥΠΕΣ 

Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε. 

Data 

Center 

DC2 

DC3 

Στη συνέχεια παρατίθενται αναλυτικά στοιχεία για κάθε σύστημα/έργο. Από τα έργα αυτά αναλύονται 

όσα είναι εγκατεστημένα ήδη στην παρούσα φάση αλλά και όσα προγραμματίζεται να εγκατασταθούν 

στο άμεσο χρονικό διάστημα (π.χ. Εθνική Πύλη ΕΡΜΗΣ). Στο τέλος του κεφαλαίου αυτού 

αξιολογούνται τα Data Centers στο σύνολό τους ως προς το ρόλο τους ως υποδομή της Δημόσιας 

Διοίκησης αλλά και ως προς την κρισιμότητά τους. 

Πιο συγκεκριμένα, για κάθε έργο/ΟΠΣ που φιλοξενείται στα Data Centers παρουσιάζονται τα εξής: 

• Στοιχεία ταυτότητας έργου 

• Αρχιτεκτονική ΟΠΣ/Δικτύου 

• Παρεχόμενες υπηρεσίες (επιγραμματική περιγραφή, πηγές/αποδέκτες δεδομένων) 

• Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ (επιγραμματική περιγραφή, βαθμός διασύνδεσης, διασυνδέσεις 

με άλλα συστήματα) 

• Μελέτη Ασφάλειας ΟΠΣ/Δικτύου 

5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης 

5.4.1.1 Στοιχεία ταυτότητας έργου 

Το έργο «Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης» 

έχει ως σκοπό την υλοποίηση μιας συνολικής και συστηματικής, τεχνολογικής παρέμβασης για την 

υποστήριξη της προσβασιμότητας και ευχρηστίας στο περιεχόμενο των διαδικτυακών ιστοτόπων, 

καθώς και το σχεδιασμό και την ανάπτυξη καθολικά προσβάσιμων WEB εφαρμογών και τηλεματικών 

υπηρεσιών στη Κοινωνία της Πληροφορίας για τα Άτομα με Αναπηρία (ΑμεΑ). 



147



Φορέας έργου: Ινστιτούτο Κοινωνικής Προστασίας και Αλληλεγγύης (Ι.Κ.Π.Α.) 

Ανάδοχος: 

Ένωση Νομικών Προσώπων «ΙNFOQUEST AEBE (UNISYSTEMS) 

– Ινστιτούτο Πληροφορικής, Ίδρυμα Τεχνολογίας και Έρευνας» 

ΣΤΥ: 

Intraway Α.Ε. 

Μελετητής Ασφάλειας: Intraway Α.Ε. 

Προϋπολογισμός 

έργου: 

2.996.374 € 

Διάρκεια έργου: 21 μήνες 

Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη 

Data Center: DC2 58 

Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης 

5.4.1.2 Αρχιτεκτονική ΟΠΣ/Δικτύου 

Τα βασικά στοιχεία της αρχιτεκτονικής είναι: 

• Εξυπηρετητές Web και FTP. Είναι υπεύθυνοι για την παροχή των διεπαφών Web, των υπηρεσιών 

του Έργου προς τους χρήστες, καθώς επίσης και τη δυνατότητα ανταλλαγής αρχείων μεσω 

της υπηρεσίας FTP. 

• Υλικός εξοπλισμός Firewall. Για την προστασία της αρχιτεκτονικής, από εξωτερικές επιθέσεις 

διατίθενται δύο συσκευές Firewall (ώστε να παρέχεται υψηλή διαθεσιμότητα). 

• Εξυπηρετητές Εφαρμογών. Είναι υπεύθυνοι για την υλοποίηση των λειτουργιών της επιχειρησιακής 

λογικής των υπηρεσιών του Έργου. 

• Εξυπηρετητές Βάσης Δεδομένων. Είναι υπεύθυνοι για την υποστήριξη του Σχεσιακού Συστηματος 

Βάσης Δεδομένων που χρησιμοποιείται από τις υπηρεσίες του Έργου. 

• Εξυπηρετητές IVR-TTS-ASR της Φωνητικής Πύλης. Είναι υπεύθυνοι για την υποστήριξη των 

λειτουργιών IVR, TTS και ASR που απαιτούνται για την επικοινωνία των χρηστών με την υπηρεσία 

Φωνητικής Πύλης του Έργου. 

• Δρομολογητής φωνητικής πύλης. O δρομολογητής αυτός είναι υπεύθυνος για την διασύνδεση 

των υπηρεσιών Φωνητικής Πύλης του Έργου με το τηλεφωνικό κέντρο που θα παρέχει ο Φορέας 

Λειτουργίας. 

• Εξυπηρετητής Email και Users Directory. Φιλοξενεί τις υπηρεσίες ηλεκτρονικού ταχυδρομείου 

και καταλόγου χρηστών. 

• Μεταγωγείς. Η διασύνδεση όλων των στοιχείων της αρχιτεκτονικής, μεταξύ τους και με το ε- 

ξωτερικό δίκτυο επιτυγχάνεται από τους μεταγωγείς της Αρχιτεκτονικής. 

• Σταθμοί εργασίας (ΑΜΕΑ και Power Stations). Περιλαμβάνονται 15 σταθμοί εργασίας, σε 5 εκ 

των οποίων έχει εγκατασταθεί εξοπλισμός υποστηρικτικής τεχνολογίας. 

• Σύστημα αποθήκευσης. Για την ολοκλήρωση της διαθεσιμόητας των στοιχείων της Αρχιτεκτονικής 

παρέχεται δικτυακό σύστημα αποθήκευσης (Storage Area Network – SAN). 

58 Η φιλοξενία στο Data Center της ΚτΠ είναι προσωρινή, έως ότου ολοκληρωθούν οι εργασίες για την κατασκευή 

κατάλληλης υποδομής φιλοξενίας του εξοπλισμού στο ΙΚΠΑ. 



148



• Σύστημα λήψης αντιγράφων ασφαλείας. Για την προστασία από απώλειες δεδομένων που απόθηκεύονται 

στο πλαίσιο των υπηρεσιών του Έργου, παρέχεται σύστημα λήψης αντιγράφων 

ασφαλείας. 

• Μονάδα αδιαλείπτου ισχύος (UPS). Για την εξασφάλιση αδιάλειπτης λειτουργίας του συστηματος 

σε περιπτώσεις διακοπής ρεύματος παρέχεται μονάδα αδιαλείπτου ισχύος. 

Στο Σχήμα 24 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ. 

Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης 

(Πηγή: Μελέτη Εφαρμογής Αναδόχου) 



149



5.4.1.3 Παρεχόμενες υπηρεσίες 

Το πλαίσιο υλοποίησης περιλαμβάνει ένα σύνολο μελετών και δράσεων οι οποίες στοχεύουν στην 

οριοθέτηση του απαραίτητου θεσμικού πλαισίου που αφορά στην ηλεκτρονική επικοινωνία των 

ΑΜΕΑ με τη Δημόσια Διοίκηση, αλλά και στη δημιουργία του κατάλληλου υπόβαθρου για την α- 

νάπτυξη προσβάσιμων διαδικτυακών εφαρμογών στην Ελλάδα. Παράλληλα αναγνωρίζοντας τις α- 

νάγκες καθημερινής διαβίωσης των ΑμεΑ προχωρά στην υλοποίηση προσβάσιμων διαδικτυακών 

εφαρμογών όπως: 

• ηλεκτρονικό ΚΕΠ για ΑΜΕΑ, 

• ενημέρωση για υπηρεσίες και προϊόντα υποστηρικτικής τεχνολογίας, 

• υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης, 

με στόχο την εξυπηρέτηση των ΑμεΑ. 

Οι υπηρεσίες που προσφέρονται απεικονίζονται στο Σχήμα 25. 

Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

Αναλυτικά, το αντικείμενο του έργου είναι: 



150



• Ελληνικές προδιαγραφές W3C/WAI (Greek extensions to W3C/WAI), για τη ανάπτυξη προηγμενων 

διεπαφών (user interface) και γενικά ηλεκτρονικών συστημάτων που θα προορίζονται 

για ΑμεΑ. 

• Ανάπτυξη, αξιολόγηση, επαλήθευση, σύνταξη και διάθεση κανόνων βέλτιστης πρακτικής, σχετικών 

συστάσεων και οδηγιών, για την υποστήριξη και δημιουργία προσβάσιμων υπηρεσιών 

και εφαρμογών ηλεκτρονικής διακυβέρνησης, για τις ομάδες στόχου του έργου. 

• Διάθεση και διάχυση των αποτελεσμάτων των δύο παραπάνω σημείων. Αυτό, θα επιτευχθεί με 

την κατασκευή κατάλληλων ιστοτόπων, ηλεκτρονικών εγγράφων και ηλεκτρονικών σεμιναρίων 

(web sites, electronic documents, online tutorials), προάγοντας και υποστηρίζοντας την 

παραγωγική εκμετάλλευση τους από την Ελληνική βιομηχανία πληροφορικής, καθώς και τους 

ενδιαφερόμενους φορείς και οργανισμούς. 

• Προμήθεια και εγκατάσταση εξοπλισμού σε κεντρικό (servers) και περιφερειακό επίπεδο 

(workstations), για τη διάθεση υπηρεσιών e-government προς τις προαναφερθείσες ευπαθείς 

πληθυσμιακές ομάδες (EO). 

• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής 

λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content), 

για την προσαρμογή υπηρεσιών e-government (e-ΚΕΠ), για την εξυπηρέτηση των ευπαθών ο- 

μάδων. 

• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης – προσαρμογής 

λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content) 

για την προσαρμογή υπηρεσιών ανεξάρτητης διαβίωσης (ενημέρωσης - πληροφόρησης, επικοινωνίας 

και συμβουλευτικής), για την εξυπηρέτηση των ΑμεΑ. 

• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής 

λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content), 

για την προσαρμογή υπηρεσιών κοινωνικής και επαγγελματικής ενσωμάτωσης (Εκπαίδευση – 

κατάρτιση, προσφορά -ζήτηση εργασίας), με σκοπό την εξυπηρέτηση των ευπαθών ομάδων. 

• Σχεδιασμός και ανάπτυξη σύστημα e-learning, που μέσω προηγμένων διεπαφών και εναλλακτικού 

περιεχομένου, προωθεί τις υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης (μπορεί 

να χρησιμοποιηθεί η πλατφόρμα του συστήματος «Σύζευξις»). 

• Ανάπτυξη 10 πακέτων εκπαιδευτικού υλικού για το παραπάνω σύστημα e-learning. 

• Ανάπτυξη Υπηρεσίας, για την διάθεση Προϊόντων Υποστηρικτικής Τεχνολογίας ΑμεΑ. Ειδική 

μνεία γίνεται στα προϊόντα που έχουν πιστοποιηθεί από το ΙΚΠΑ. 

• Μελέτη, σχεδιασμός, ανάπτυξη, αξιολόγηση, επαλήθευση, και εγκατάσταση μιας πρότυπης διαδικτυακής 

πύλης ηλεκτρονικής διακυβέρνησης (e-government portal), με σκοπό τη διάχυση 

των παραπάνω υπηρεσιών και πληροφοριών, προσβάσιμη από τις ομάδες στόχου του έργου, οι 

οποίες δεν είναι καθολικά προσβάσιμες στην σημερινή τους μορφή. Επιπλέον, θα προσφέρει 

προσβάσιμες υπηρεσίες μέσω ηλεκτρονικού ταχυδρομείου (e-mail), ηλεκτρονικής συνομιλίας 

(e-chat), και ηλεκτρονικού πίνακα μηνυμάτων (e-message board -forum). 

5.4.1.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ 

• Σύστημα τηλεπικοινωνιών «Σύζευξις» 



151



Η συσχέτιση με το «Σύζευξις» έγκειται στο ότι εξασφαλίζει την απαραίτητη τηλεπικοινωνιακή διασύνδεση 

μεταξύ του χώρου εγκατάστασης του κεντρικού εξοπλισμού, των ΑΜΕΑ σε όλη την Ελλάδα, 

και των άλλων Φορέων ΑΜΕΑ. Επίσης ο ανάδοχος μπορεί να χρησιμοποιήσει την πλατφόρμα 

e-learning του «Σύζευξις». 

• Φορείς που παρέχουν δεδομένα 

Το βασικό περιεχόμενο αντλείται με αυτόματο τρόπο από τα site του ΚΕΠ, του ΥΠΕΣΔΔΑ και του 

ΥΥΚΑ. 

• Σύστημα «Κάρτα Αναπηρίας» 

Θα πρέπει να διασφαλιστεί η διαλειτουργικότητα με αυτό το σύστημα, αλλά επειδή είναι υπό ανάπτυξη, 

οι λεπτομέρειες δεν έχουν καθοριστεί. 

5.4.1.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου 

Στο διαθέσιμο υλικό δεν συμπεριλαμβανόταν το παραδοτέο υπολογισμού της επικινδυνότητας, συνεπώς 

δεν είναι γνωστό ποια μέθοδος χρησιμοποιήθηκε και σε τι επίπεδα κυμαίνεται η επικινδυνότητα. 

Παραταύτα, υπάρχει σχέδιο ασφάλειας, το οποίο προδιαγράφει τα εξής: 

• Χρήση συστοιχίας firewall cluster σε διάταξη active/standby failover. 

• Τρεις ζώνες ασφαλείας: α) για την υποστήριξη της διασύνδεσης του Φορέα Λειτουργίας με το 

δίκτυο Σύζευξις, β) ζώνη DMZ η οποία θα περιλαμβάνει τους εξυπηρετητές web και ftp και γ) 

ζώνη Inside η οποία θα περιλαμβάνει όλους τους υπόλοιπους εξυπηρετητές. 

• Μέτρα για περιμετρική ασφάλεια και διαχείριση αρχείων καταγραφής 

• Μέτρα για την προστασίας του λειτουργικού συστήματος (Περιορισμός χρηστών, groups, περιορισμός 

των δικαιωμάτων στο σύστημα αρχείων, επιλογή ισχυρών passwords, απενεργοποίηση 

των υπηρεσιών εκτός των απαραίτητων, έλεγχος των αρχείων του συστήματος, απεγκατάσταση 

του μη απαραίτητου λογισμικού, περιορισμός και διασφάλιση της πρόσβασης στο σύστημα, 

αποτελεσματική αποστολή αντιγράφου των logs σε άλλο σύστημα) 

• Προστασία του δικτυακού εξοπλισμού (μεταγωγείς, δρομολογητές, firewalls) και του συστηματος 

Antivirus. 

• Μέτρα για την πρόσβαση χρηστών 

• Εκπαίδευση χρηστών 

Σημειώνεται ότι αυτά τα μέτρα ασφάλειας είχαν προδιαγραφεί με βάση την παραδοχή ότι ο χώρος 

εγκατάστασης του συστήματος θα είναι σε κάποιο χώρο του φορέα λειτουργίας και όχι στην ΚτΠ 

ΑΕ. Παράλληλα, έχει συνταχθεί Πολιτική Ασφάλειας. Ο ΣΤΥ προβλέπεται να σχεδιάσει και να υ- 

λοποιήσει τη διεξαγωγή δοκιμών ασφάλειας (penetration tests), τα συμπεράσματα των οποίων θα 

παραδοθούν με τη μορφή έκθεσης (που θα περιλαμβάνει και τα σενάρια δοκιμών) στην ΚτΠ Α.Ε., 

ώστε να ληφθούν υπόψη από τον Ανάδοχο του Κυρίως Έργου. Έπειτα θα ελέγξει την ορθότητα 

και πληρότητα των τεχνικών μέτρων ασφάλειας που έχουν υλοποιηθεί από τον Ανάδοχο και θα επικαιροποιήσει 

τη μελέτη ασφάλειας. Δεν υπάρχει πρόβλεψη για κάποιο εφεδρικό χώρο σε περίπτωση 

καταστροφών ή για Σχέδιο συνέχισης λειτουργίας. 



152



5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού 


Βασικός σκοπός του έργου «Ανάπτυξη και Λειτουργία Ολοκληρωμένου Πληροφοριακού Συστήματος 

Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα: Δορυφόρος Λογαριασμός Τουρισμού και 

Παρατηρητήριο Τουρισμού» είναι η ανάπτυξη, εφαρμογή και παραγωγική λειτουργία του Ολοκληρωμένου 

Πληροφοριακού Συστήματος (ΟΠΣ) Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα, 

το οποίο θα εξυπηρετεί τη χάραξη, παρακολούθηση και αξιολόγηση της τουριστικής πολιτικής και 

συγχρόνως θα απευθύνεται σε όλους τους φορείς και πρόσωπα που συνδέονται άμεσα ή έμμεσα με 

τον Τουρισμό. 

Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα σύμφωνα με τις διεθνείς πρακτικές θα 

αποτελείται από δύο κύρια Υποσυστήματα, ως εξής: 

• Τον «Ελληνικό» Δορυφόρο Λογαριασμό Τουρισμού (Hellas Tourism Satellite Account), μέσω 

του οποίου τεκμηριώνεται η επίδραση του τουρισμού στην οικονομία, υποστηρίζεται η τουριστική 

αναπτυξιακή στρατηγική, διαμορφώνονται και «δοκιμάζονται» πολιτικές και διαχέονται 

συστηματικά εξειδικευμένες πληροφορίες υποστήριξης αποφάσεων στη Δημόσια Διοίκηση 

και στην αγορά (μέσω του Παρατηρητηρίου Τουρισμού). 

• Το εξειδικευμένο «Παρατηρητήριο Τουρισμού» (Hellas Tourism Observatory) μέσω του ο- 

ποίου εξασφαλίζεται με άρτιο, πλήρη και εποπτικό τρόπο η συγκέντρωση, επεξεργασία και επικαιροποίηση 

πληθώρας στοιχείων και δεδομένων που συνθέτουν και διαμορφώνουν (πρωτογενώς 

ή/και δευτερογενώς) την «εικόνα» της εγχώριας και διεθνούς οικονομικής δραστηριότητας 

στον κλάδο του Τουρισμού. 

Φορέας έργου: 

Yπουργείο Τουριστικής Ανάπτυξης 


Ένωση Singular Logic Integrator, BPM, Deloitte 

ΣΤΥ: 

Vellum Σύμβουλοι Επιχειρήσεων, Οικονομικό Πανεπιστήμιο 

Αθηνών 

Μελετητής Ασφάλειας: Vellum Σύμβουλοι Επιχειρήσεων 

Προϋπολογισμός έργου: € 2.313.300,00 

Διάρκεια έργου: 

24 μήνες 

Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη 

Data Center: 

DC2 

Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο 

Τουρισμού 

Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα συνδυάζοντας το ΔΛΤ και το Παρατηρητήριο, 

διαμορφώνει ευρεία εξωστρέφεια, παράγοντας και παρέχοντας σημαντικές και καινοφανείς 

πληροφορίες (οι οποίες σήμερα στην πλειοψηφία τους δεν είναι διαθέσιμες) στη Δημόσια Διοίκηση 

γενικά, στην Τουριστική Αγορά και στον κλάδο των μεταφορών, των τραπεζών και του χρηματοπιστωτικού 

τομέα, στους επιχειρηματίες, στα πανεπιστημιακά και ερευνητικά ιδρύματα και 

στους ερευνητές, στους πολίτες κλπ. Η λειτουργία του Συστήματος υποστηρίζεται από Διαδικτυακή 

Πύλη. 


Το ΟΠΣ αποτελείται από τα παρακάτω υποσυστήματα: 



153



Δορυφόρος Λογαριασμός Τουρισμού 

• Υποσύστημα Διαχείρισης Ερευνών 

• Υποσύστημα Μήτρας Εισροών Εκροών 

• Υποσύστημα Κλαδικής Ανάλυσης 

• Υποσύστημα Συνδυαστικής Επεξεργασίας και Υποστήριξης Στρατηγικής και Αποφάσεων 

• Υποσύστημα Διάχυσης Αποτελεσμάτων ΔΛΤ 

Παρατηρητήριο Τουρισμού 

• Υποσύστημα Αποθήκευσης και Συνδυαστικής Επεξεργασίας Δεδομένων 

• Υποσύστημα Τουριστικής Κατανάλωσης και Αναπτυξιακής Πολιτικής 

• Υποσύστημα Τουριστικής Αγοράς και Εισερχόμενης/Εξερχόμενης Τουριστικής Κίνησης 

• Υποσύστημα Τουριστικών Υποδομών και Ανωδομών και Ανθρώπινου Δυναμικού 

• Υποσύστημα Τουριστικών Επενδύσεων 

• Υποσύστημα Παρατήρησης και Ανταγωνισμού 

• Υποσύστημα Υποστήριξης Στρατηγικής και Αποφάσεων 

Στο Σχήμα 26 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ, η οποία αποτελείται από τα εξής επίπεδα: 

• Αποστρατιωτικοποιηµένη ζώνη (DMZ-Demilitarized Zone): περιλαµβάνει τον εξοπλισµό φιλοξενίας 

και προβολής του δικτυακού τόπου (Portal) στους χρήστες (http Servers - Web Cache). 

Συνοπτικά περιλαµβάνει τα ακόλουθα: 

• Επίπεδο Εφαρµογών και Επεξεργασίας (Application - Processing Layer): εριλαµβάνει τον εξοπλισµό 

των Oracle Application Servers στους οποίους θα εγκατασταθεί το λογισµικό Oracle 

Application Server Standard Edition. 

• Επίπεδο διαχείρισης και Αποθήκευσης των δεδοµένων (Back-end Layer): εριλαµβάνει τον εξοπλισµό 

των Oracle Database Servers. 


Ο ΔΛΤ αποτελεί βασικό οικονομικο-στατιστικό εργαλείο. Οι χρήστες του ΔΛΤ είναι: α) στελέχη 

του Υπουργείου Τουριστικής Ανάπτυξης και β) στελέχη των εποπτευόμενων Φορέων από το Υ- 

πουργείο Τουριστικής Ανάπτυξης (με επιλεκτική πρόσβαση). 

Παράλληλα το Παρατηρητήριο Τουρισμού εξυπηρετεί: 

• τις λειτουργίες εξυπηρέτησης του γενικού (πολίτες, εν δυνάμει επενδυτές) και ειδικού κοινού 

(στελέχη δημόσιας διοίκησης, επενδυτές, επιχειρηματίες, ερευνητές, επιχειρηματίες, στελέχη 

διεθνών και εθνικών οργανισμών κλπ.) 

• τους συναλλασσόμενους με το Υπουργείο Τουρισμού, γενικότερα καθώς και τις ανάγκες επικοινωνίας 

με εξωτερικούς φορείς και τις δυνητικές πηγές πληροφοριών (υπάρχουσες και επιζητούμενες 

στο μέλλον). 



154



Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη 

Εφαρμογής Αναδόχου) 

Στους χρήστες του ΟΠΣ περιλαμβάνονται: 

Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και Εποπτευόμενων Φορέων 

• Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και των εποπτευόμενων από αυτό φορέων 

(ΕΟΤ, ΟΤΕΚ, ΕΤΑ Α.Ε., Αγροτουριστική Α.Ε, Ελληνικό Φεστιβάλ Α.Ε.) 

• Τοπικοί διαχειριστές των εφαρμογών του Δ.Λ.Τ. και του Παρατηρητηρίου οι οποίοι θα είναι υ- 

πεύθυνοι α) για την ενημέρωση της βάσης δεδομένων με τα αποτελέσματα των τακτικών ερευνών 

όταν αυτές πραγματοποιούνται β) για καθημερινές διαδικασίες λειτουργίας και συντήρησης 

των εφαρμογών και γ) για τη μορφοποίηση στατιστικών αναφορών 

Λοιποί Δημόσιοι Φορείς (G2G και G2B-G2C συνεργασίες) 

• αφενός οι λοιποί φορείς του Δημοσίου που παρέχουν με τη σειρά τους δευτερογενώς επεξεργασμένες 

και συνδυασμένες πληροφορίες και υπηρεσίες προς τους πολίτες, τους επιχειρηματίες, 

τους ερευνητές κλπ., όπως η ΕΣΥΕ, η Τράπεζα της Ελλάδος, οι αρμόδιες Διευθύνσεις των Υ- 

πουργείων Οικονομίας, Ανάπτυξης, Μεταφορών, Ναυτιλίας, Εργασίας κλπ. 

• η ίδια η αγορά αφετέρου, αμιγώς «τουριστική» (φιλοξενία) ή όχι (αναψυχή, πολιτισμός, επισιτισμός, 

μεταφορές κλπ.). 

Οι λειτουργικές απαιτήσεις του ΟΠΣ σε σχέση με αυτήν την ομάδα εξασφαλίζουν: 



155



• άμεση συνεργασία και ενημέρωση των λοιπών φορέων της δημόσιας διοίκησης (G2G) 

• γενική ενημέρωση των ενδιαφερόμενων επιχειρηματιών σε σχέση με πολλαπλά ερωτήματα, ό- 

πως επενδύσεις, αγορά εργασίας, μεταφορές, χαρακτηριστικά και τάσεις της εγχώριας και διεθνούς 

τουριστικής αγοράς, τιμές, ανταγωνισμός κλπ. 

• εξειδικευμένη ενημέρωση κάθε ενδιαφερόμενου (πολίτες, ερευνητές), ανάλογα με τις εξατομικευμένες 

ανάγκες του (G2C). 


Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα: 

• Το Πληροφοριακό Σύστημα Ηλεκτρονικής Υποβολής των Αιτήσεων προς τους φορείς του Υ- 

πουργείου Τουριστικής Ανάπτυξης προσφέρει μηχανισμούς διαχείρισης των αιτήσεων των πολιτών 

από τους αρμόδιους υπαλλήλους των φορέων του ΥΤΑΝ, την κοινοποίηση των αποτελεσμάτων 

στους ενδιαφερόμενους πολίτες και τους εμπλεκόμενους φορείς, την ηλεκτρονική 

υποβολή αιτήσεων, την πληροφόρηση μέσω μηνυμάτων SMS με κύριο στόχο την ολοκλήρωση 

και επεξεργασία των αιτήσεων αυτών. 

• Το Σύστημα Ανάπτυξης και Λειτουργίας Υπηρεσίας μιας Στάσης για την Εξυπηρέτηση και Πληροφόρηση 

των Επιχειρήσεων του Τουριστικού Τομέα αφορά την λειτουργία Υπηρεσίας μίας Στασης 

για την παροχή άμεσης και ολοκληρωμένης πληροφόρησης στις επιχειρήσεις του τουριστικού 

τομέα καθώς επίσης και δυνητικούς επενδυτές στο χώρο του τουρισμού. Η υλοποίηση 

του συγκεκριμένου συστήματος, το οποίο θα διασυνδεθεί με το περιγραφόμενο Πληροφοριακό 

Σύστημα, δεν έχει ολοκληρωθεί και θα γίνει μέσω του ανασχεδιασμού των ηλεκτρονικών ιστοσελίδων 

του Υπουργείου Τουριστικής Ανάπτυξης και του εμπλουτισμού τους με υπηρεσίες αυτόματης 

εξυπηρέτησης καθώς και με την προμήθεια, εγκατάσταση και λειτουργία ενός υπολογιστικού 

συστήματος με 10, κατ’ ελάχιστον διασυνδεδεμένων μονάδων για την υποστήριξη 

των επιτόπιων επισκέψεων των χρηστών που δεν έχουν διαδικτυακή πρόσβαση, προκειμένου οι 

ενδιαφερόμενοι να μπορούν χωρίς προβλήματα και καθυστερήσεις να αντλήσουν τη σχετική 

πληροφόρηση. 

• Το Σύστημα τηλεπικοινωνιών «Σύζευξις», η συσχέτιση με το οποίο έγκειται στο ότι εξασφαλίζει 

την απαραίτητη τηλεπικοινωνιακή διασύνδεση μεταξύ του χώρου εγκατάστασης του κεντρικού 

εξοπλισμού και των κτιρίων των Διευθύνσεων του Υπουργείου Τουριστικής Ανάπτυξης. 

Το ΟΠΣ διασυνδέεται με τους παρακάτω φορείς 59 : 

• Τράπεζα της Ελλάδας, από την οποία ενημερώνεται το σύστημα για τα αποτελέσματα της έρευνας 

συνόρων. Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με το πέρας της επεξεργασίας 

των ερωτηματολογίων της έρευνας της ΤΤΕ 

• Ελληνική Στατιστική Υπηρεσία Ελλάδας, η οποία προμηθεύει το σύστημα με τα ακόλουθα: 

o 

o 

Τουριστική κίνηση και δαπάνη των κατοίκων της χώρας (εγχώριος και εξερχόμενος τουρισμός) 

από την Έρευνα Διακοπών. 

Αριθμός αφίξεων τουριστών στις πύλες εισόδου της χώρας (αεροδρόμια, λιμάνια, οδικοί 

και σιδηροδρομικοί συνοριακοί σταθμοί) από την Έρευνα Αφίξεων Συνόρων. 

59 

Με τα υπάρχοντα δεδομένα δεν είναι δυνατή η άμεση διασύνδεση των συστημάτων λόγω έλλειψης ΠΣ των ανωτέρω 

φορέων, τα οποία να περιλαμβάνουν τις ζητούμενες πληροφορίες. 



156



o 

o 

Αφίξεις και Διανυκτερεύσεις σε ξενοδοχεία από την Έρευνα Αφίξεων/Διανυκτερεύσεων σε 

Ξενοδοχεία. 

Οικονομικά Στοιχεία για τις επιχειρήσεις του κλάδου 55 (Ξενοδοχεία και Εστιατόρια) από 

την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Τουρισμού. 

o Οικονομικά Στοιχεία από την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Μεταφορών, Α- 

ποθήκευσης και Επικοινωνιών. 

o 

o 

o 

o 

o 

o 

Κύκλος εργασιών τριμήνου ξενοδοχειακών επιχειρήσεων - εστιατορίων - μπαρ - συναφών 

επιχειρήσεων, δείκτης τουριστικών υπηρεσιών από την Τριμηνιαία Έρευνα τζίρου Ξενοδοχείων. 

Στοιχεία κίνησης Μουσείων και Αρχαιολογικών Χώρων από την Έρευνα Κίνησης Μουσείων 

και Αρχαιολογικών Χώρων. 

Εθνικοί Λογαριασμοί. 

Στοιχεία Απασχόλησης από την Έρευνα Εργατικού Δυναμικού. 

Σύνθεση νοικοκυριών, απασχόληση των μελών τους, συνθήκες στέγασης και δαπάνες διαβίωσής 

τους, καθώς και εισοδήματά από την Έρευνα Οικογενειακών Προϋπολογισμών. 

Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με τη δημοσίευση των αντίστοιχων πινακων 

από την ΕΣΥΕ. 

• Ξενοδοχειακό Επιμελητήριο της Ελλάδας, το οποίο ενημερώνει το σύστημα για τα Στοιχεία λειτουργίας 

Ξενοδοχείων και Κάμπινγκ της χώρας. Η συχνότητα διεπαφής είναι σε επίπεδο μήνα, 

έτσι ώστε να είναι όσο το δυνατό ποιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ. 

• Εθνικά Τουριστικά Ακίνητα, σύμφωνα με το οποίο το Πληροφοριακό σύστημα ενημερώνεται με 

στοιχεία τουριστικών ακινήτων, όπως μαρίνες, συνεδριακά κέντρα (έτος κατασκευής, χωρητικότητα 

κλπ). Η συχνότητα διεπαφής πρέπει να είναι σε επίπεδο τριμήνου, έτσι ώστε να είναι 

όσο το δυνατό πιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ. 


Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος 

βαθμός επικινδυνότητας αποτιμήθηκε ως 3/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές: 

• Πλαστοπροσωπία από Εσωτερικούς Χρήστες 

• Πλαστοπροσωπία από Εξωτερικούς Χρήστες 

• Εισαγωγή Κακόβουλου Κώδικα- Ιομορφικού Λογισμικού 

• Παρεμβολές στις Επικοινωνίες 

• Παρεμπόδιση Επικοινωνιών 

• Αδυναμία Επικοινωνίας 

• Βλάβη Κλιματισμού 

• Πυρκαγιά 

• Φυσική Καταστροφή 

• Κλοπή (από εσωτερικούς) 



157



• Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εσωτερικούς) 

• Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εξωτερικούς ) 

Από την αποτίμηση των αγαθών - περιουσιακών στοιχείων του ΟΠΣ του έργου δεν προκύπτουν σημαντικές 

απαιτήσεις σε ότι αφορά την εμπιστευτικότητα (confidentiality), τη διαθεσιμότητα (availability) 

και την ακεραιότητα (integrity) των δεδομένων και των ΠΣ. Οι απαιτήσεις για διατήρηση της 

εμπιστευτικότητας των δεδομένων απορρέουν κατά μείζονα λόγο από την δεδηλωμένη ανάγκη 

προστασίας των πρωτογενών δεδομένων, των ενδιάμεσων αποτελεσμάτων και των μελετών που προορίζονται 

για φορείς του Ελληνικού Δημοσίου. Η απαίτηση για ακεραιότητα και διαθεσιμότητα των 

δεδομένων προκύπτει από το σημαντικό ρόλο του ΟΠΣ στην παροχή ορθής πληροφόρησης και την 

υποστήριξη των διαδικασιών Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα καθώς και από την 

εικόνα που προβάλλεται στο ευρύ κοινό και τους ξένους φορείς τουρισμού (ΠΟΤ, ΟΑΣΑ, Eurostat 

κτλ). 

Όσον αφορά το Σχέδιο αντιμετώπισης περιστατικών, έχει τεθεί στόχος αποκατάστασης της λειτουργίας 

του το χρονικό διάστημα των δεκαπέντε ημερών. Σε αυτό το διάστημα περιλαμβάνεται και ο 

χρόνος που απαιτείται για την προμήθεια του εξοπλισμού που έχει καταστραφεί, δεν περιλαμβάνεται, 

όμως, ο χρόνος που απαιτείται για την αποκατάσταση των κτιριακών εγκαταστασεων, στην περίπτωση 

που έχουν υποστεί σοβαρή ζημία ή καταστροφή. 

Στο πλαίσιο του Σχεδίου Αντιμετώπισης Έκτακτων Περιστατικών, προτείνεται επίσης Σχέδιο Λήψης 

και Διαχείρισης Εφεδρικών Αντιγράφων (backup plan). Περιγράφονται επίσης οι απαραίτητες προπαρασκευαστικές 

ενέργειες για την εφαρμογή του Σχεδίου. 

Έχουν προδιαγραφεί οι εξής δοκιμές (individual tests): 

• γενικοί έλεγχοι που πρέπει να γίνουν σε όλες τις οθόνες διαχείρισης, δηλαδή στις οθόνες που ε- 

κτελούν μία ή περισσότερες από τις ενέργειες της εισαγωγής, διαγραφής, τροποποίησης και αναζήτησης 

εγγραφών. 

• ειδικά σενάρια ελέγχου, δηλαδή σενάρια που αναφέρονται σε συγκεκριμένες επεξεργασίες και 

περιλαμβάνουν μία ή περισσότερες οντότητες (οθόνες, εκτυπώσεις, αλγόριθμοι) του συστήματος. 

Τα αποτελέσματα των δοκιμών δεν ήταν διαθέσιμα στην παρούσα φάση ενώ δεν εντοπίστηκε κάποιο 

παραδοτέο για τον έλεγχο εφαρμογής των αντιμέτρων. 

5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου 

(ΥΛΠΗΣΔΕΔ) 


Ο σκοπός του έργου «Παροχή υπηρεσιών λειτουργίας συστήματος Διαχείρισης της Εκπαιδευτικής 

Διαδικασίας και του Εκπαιδευτικού Περιεχομένου (ΥΛΠΗΣΔΕΔ)» είναι η παροχή υπηρεσίας λειτουργίας 

Πληροφοριακού Συστήματος Διαχείρισης των εκπαιδευτικών διαδικασιών του Εθνικού Κέντρου 

Δημόσιας Διοίκησης και Αυτοδιοίκησης (ΕΚΔΔΑ). Η προσφερόμενη υπηρεσία πρόκειται να 

υποστηρίξει το ΕΚΔΔΑ στην αναβάθμιση της Δημόσιας Διοίκησης μέσω της υποστήριξης των εκπαιδευτικών 

διαδικασιών του ΕΚΔΔΑ στο πλαίσιο ενός μοντέλου μικτής κατάρτισης (blended learning). 

Η εφαρμογή του παραπάνω πλαισίου θα δώσει τη δυνατότητα στην Δημόσια Διοίκηση να αντεπεξέλθει 

με επιτυχία στις ανάγκες που απορρέουν από την πορεία της προς την Ηλεκτρονική Διακυβέρνηση 

και την εφαρμογή διαδικασιών δια βίου εκπαίδευσης. Στο πλαίσιο αυτό το ΕΚΔΔΑ έχει α- 



158



ναλάβει να υλοποιήσει άμεσα ένα μεγάλο αριθμό προγραμμάτων κατάρτισης (1300) μέσω των οποίων 

αναμένεται να καταρτιστούν 21.000 στελέχη της Δημόσιας Διοίκησης. 



Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης 

Ένωση OTENET Α.Ε- ΑΠΟΨΗ Α.Ε- ΚΟΡΥΜΒΟΣ Α.Ε 

ΣΤΥ: - 

Μελετητής Ασφάλειας: Από τον ίδιο τον ανάδοχο 

Προϋπολογισμός έργου: 2.953.385,13 € 


21 μήνες 

Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία 

Data Center: 

DC2 

Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ 


Η προτεινόμενη αρχιτεκτονική προβλέπει την δημιουργία ενός ανεξάρτητου τοπικού δικτύου το 

οποίο θα διαχωρίζεται σε τρεις ζώνες: 

Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού 

περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

A) Την εξωτερική ζώνη διασύνδεσης με το τοπικό δίκτυο του ΣΥΖΕΥΞΙΣ και μέσω αυτού στο 

Διαδίκτυο (Reverse Proxy Servers, το οποίο είναι υπεύθυνο για τη παρουσιάση της εκπαιδευτικής 

πύλης στον τελικό χρήστη. Η συγκεκριμένη υλοποίηση τοποθετεί μπροστά απο τους web application 

servers του ΟΠΣ, και μετά το firewall, μια μηχανή υποδοχής των συνδέσεων που προέρχονται 

απο το εξωτερικό δίκτυο (WAN) και απευθύνονται προς αυτούς. 



159



Β) Την αποστρατιωτικοποιημένη ζώνη (DMZ) 

• Σύστημα ασύγχρονης τηλεκπαίδευσης και Σύστημα δημιουργίας και διαχείρισης εκπαιδευτικού 

υλικού 

• Σύστημα σύγχρονης τηλεκπαίδευσης 

• Σύστημα Διαχείρισης και Διακίνησης Εγγράφων 

• Συστήματα του Report Manager και Analytics Server τα οποία είναι υπεύθυνα για την παραγωγή 

διαφόρων στατιστικών στοιχείων 

• Notification και SMTP Server 

• Active Directory 

Γ) Την εσωτερική ζώνη 

• Βάση δεδομένων 

• Backup Εξυπηρετητής 

• Κοινό δικτυακό σύστημα αποθήκευσης (Storage Area Network). 

• Μanagement VLAN, το οποίο περιλαμβάνει όλη την υλικοτεχνική υποδομή σε εξοπλισμό και 

λογισμικό, η οποία θα χρησιμοποιηθεί από την Ένωση για την παροχή της Υπηρεσία Παρακολούθησης 

Επιπέδου Συμφωνίας Υπηρεσιών (ΥΠΕΣΥ - SLA). 

Δ) To δίκτυο θα υλοποιηθεί μέσω δύο Cisco gigabit μεταγωγέων επιπέδου 3. Ο διαχωρισμός του 

δικτύου σε ζώνες θα γίνει μέσω δύο Cisco Firewall σε διάταξη Fail over και την δημιουργία των α- 

παραίτητων VLAN. Το τοπικό δίκτυο του OΠΣ θα ελέγχεται για επιθέσεις μέσω συστήματος IDS, 

ενώ το ειδικό λογισμικό προστασίας από ιούς θα εγκατασταθεί σε κάθε εξυπηρετητή. 


Το ΟΠΣ παρέχει τις εξής υπηρεσίες: 

• Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών και Περιεχομένου, που υποστηρίζει το σύνολο 

των εκπαιδευτικών διαδικασιών του ΕΚΔΔΑ και ενσωματώνει τις παρακάτω υπηρεσίες: 

o 

o 

o 

o 

o 

Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών 

Υπηρεσία Συγγραφής και Δημοσίευσης Εκπαιδευτικού Υλικού 

Υπηρεσία Διαχείρισης Χρηματοροών και Δεικτών 

Υπηρεσία Διαχείρισης Σύγχρονης Τηλεκπαίδευσης 

Υπηρεσία Διαχείρισης Περιεχομένου 

• Υπηρεσία Διαχείρισης και Διακίνησης Εγγράφων, η οποία υποστηρίξει το ΕΚΔΔΑ στη διαχείριση 

και διακίνηση των ψηφιακών του εγγράφων, στην ψηφιοποίηση των διαφόρων φυσικών 

εγγράφων και στην οργάνωσή τους μέσω ηλεκτρονικών πρωτοκόλλων επιτρέποντας την εύκολη 

και γρήγορη αναζήτηση, την ηλεκτρονική διακίνησή τους στα περιφερειακά τμήματα του 

ΕΚΔΔΑ. 

• Υπηρεσία Εγγραφής και Εξουσιοδότησης Χρηστών 



160



• Υπηρεσία Δημοσίευσης/Προβολής Λειτουργιών και Περιεχομένου Εκπαιδευτικής Πύλης, η οποία 

επιτρέπει τη δημοσίευση πολλαπλών δικτυακών πυλών οι οποίες χρησιμοποιούν τις ίδιες υπηρεσίες 

διατηρώντας όμως πλήρη ανεξαρτητοποίηση όσον αφορά το περιεχόμενο. Το ΕΚΔΔΑ 

μπορεί να δημιουργήσει ανεξάρτητους δικτυακούς τόπους προσαρμοσμένους στις ανάγκες του 

εκάστοτε φορέα (Νομαρχίες, Περιφέρειες, Υπουργεία) διατηρώντας ενιαίο τρόπο διαχείρισης 

του συνόλου των υπηρεσιών. Η κάθε επιμέρους δικτυακή πύλη θα αποτελεί το σημείο εισόδου 

για όλες τις κατηγορίες χρηστών (διαχειριστές, εκπαιδευόμενοι, εκπαιδευτές) και θα δίνει τη 

δυνατότητα της διαφανούς χρήσης όλων των επιμέρους υπηρεσιών της ΥΛΠΗΣΔΕΔ. 

• Υπηρεσία Διανομής Περιεχομένου 



• ΣΥΖΕΥΞΙΣ 

Η σύνδεση της Διαδικτυακής Πύλης με τρίτα συστήματα, καθώς και η πρόσβαση των χρηστών 

στις υπηρεσίες της, θα πραγματοποιηθεί μέσω του δικτύου Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ. 

Επίσης, προβλέπεται ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών 

χρηστών (στελέχη Δημοσίου) στις λειτουργίες της Πύλης θα πραγματοποιείται με χρήση της 

PKI υποδομής του ΣΥΖΕΥΞΙΣ. 

• Πληροφοριακό Σύστημα του ΕΚΔΔΑ 

Το ΕΚΔΔΑ διαθέτει πληροφοριακό σύστημα μέσω του οποίου διαχειρίζεται τις εκπαιδευτικές 

διαδικασίες που απορρέουν από την υλοποίηση προγραμμάτων κατάρτισης τόσο με ιδία μέσα 

όσο και με ανάθεση σε τρίτους Η ΥΛΠΗΣΔΕΔ αποσκοπεί να ενσωματώσει και γενικότερα να 

ολοκληρώσει το σύνολο των επιχειρησιακών διαδικασιών που υλοποιούνται από το Πληροφοριακό 

Σύστημα του ΕΚΔΔΑ. 

• Σύστημα εκπαίδευσης (Υποέργο 8 ΣΥΖΕΥΞΙΣ) 

Η ΥΛΠΗΣΔΕΔ στοχεύει να διαλειτουργεί πλήρως με το υπάρχον πληροφοριακό σύστημα διαχείρισης 

της εκπαίδευσης το οποίο έχει δημιουργηθεί στο πλαίσιο του Υποέργου 8 του έργου 

ΣΥΖΕΥΞΙΣ και βρίσκεται σε ειδικά διαμορφωμένο computer room στις εγκαταστάσεις του 

ΕΚΔΔΑ εντός του δικτύου ΣΥΖΕΥΞΙΣ. 


Η μελέτη εκπονήθηκε από τον ίδιο τον Ανάδοχο, ενώ δεν εντοπίστηκε κάποιο άλλο παραδοτέο από 

εξωτερικό μελετητή. Χρησιμοποιήθηκε η μεθοδολογία CRAMM, o μέγιστος βαθμός επικινδυνότητας 

είναι 5/7, ενώ οι σημαντικότερες απειλές που εντοπίστηκαν είναι: 

• Εισαγωγή Ιομορφικού ή Κακόβουλου Λογισμικού 

• Λάθη χρήστη 

• Φωτιά 

• Πλαστοπροσωπία 

• Μη εξουσιοδοτημένη χρήση εφαρμογής 

• Πλημμύρα 



161



• Κλοπή (από εσωτερικούς χρήστες) 

• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρήστες) 

Το Σχέδιο Ασφάλειας περιλαμβάνει μια σειρά από αντίμετρα, σε 21 κατηγορίες, τα σημαντικότερα 

των οποίων είναι η δημιουργία οργανωτικού πλαισίου για τη διαχείριση της ασφάλειας, η πραγματοποίηση 

εσωτερικών ελέγχων, η ευαισθητοποίηση, ενημέρωση, εκπαίδευση σε θέματα ασφάλειας 

ΠΣ, η υιοθέτηση της πολιτικής Ασφάλειας ΠΣ, η Προστασία προσωπικών δεδομένων, η προστασία 

από κινδύνους προερχόμενους από το Διαδίκτυο και η διαχείριση συνθηματικών και λογαριασμών 

χρηστών. 

Το σύστημα επεξεργάζεται ευαίσθητα δεδομένα εκπαιδευόμενων Φορέων, αλλά αυτό δεν ανακλάται 

στα σχέδιο ασφαλείας με επιπλέον μέτρα, εκτός αυτών του ελέγχου προσπέλασης. Όσον αφορά 

τη συνέχιση της λειτουργίας, προδιαγράφεται η χρήση εφεδρικών αντίγραφων δεδομένων, δεν προβλέπεται 

εφεδρικός χώρος εγκατάστασης και δεν εντοπίστηκε σχέδιο ανάκαμψης καταστροφών. 

Τέλος, υπάρχει πολιτική ασφάλειας. 

5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές 

Υγείας, Δημόσιας Υγιεινής και Κοιvωνικής Πρόνοιας 


Στόχος των Ολοκληρωμένων Πληροφοριακών Συστημάτων Νομαρχιακών Αυτοδιοικήσεων ΝΑ) 

είναι η βελτιστοποίηση της λειτουργίας των ΝΑ και των παρεχόμενων υπηρεσιών προς τον πολίτη, 

με βασικούς άξονες: 

• Την ομογενοποίηση των διαδικασιών και των εντύπων των ΝΑ λαμβάνοντας υπόψη την διαφοροποίηση 

τους λόγω μεγέθους και πιθανών λειτουργικών ιδιαιτεροτήτων, 

• Την ανάπτυξη, παραμετροποίηση, εγκατάσταση και λειτουργία πληροφοριακού συστήματος 

που επιτρέπει τη διαχείριση της ροής τυποποιημένων εργασιών και πληροφοριών για το σύνολο 

των ΝΑ της χώρας καθώς και την παρακολούθηση των αιτημάτων/υποθέσεων των πολιτών 

από τους προϊσταμένους των ΝΑ και τον ίδιο τον πολίτη, 

• Την παροχή υπηρεσιών εκπαίδευσης και υποστήριξης των χρηστών κατά τη διάρκεια της 

περιόδου καλής (πιλοτικής) λειτουργίας, 

• Την εξασφάλιση της καλής λειτουργίας των εφαρμογών στις κατά τόπους ΝΑ, 

• Την παροχή υπηρεσιών τεχνικής και επιστημονικής υποστήριξης στο πλαίσιο της παραγωγικής 

λειτουργίας του έργου, 

• Την παροχή υπηρεσιών συντήρησης και υποστήριξης του συστήματος. 

Πιο συγκεκριμένα, αυτό το έργο στοχεύει: 

• Στη βελτίωση του βαθμού ενημέρωσης του πολίτη σε σχέση με τις δραστηριότητες των Νομαρχιακών 

Αυτοδιοικήσεων στις λειτουργικές περιοχές Υγείας και Δημόσιας Υγιεινής και Κοινωνικής 

Πρόνοιας αλλά και τις απαραίτητες ενέργειες και δικαιολογητικά για την έκδοση των 

αδειών/πιστοποιητικών και την χορήγηση των επιδομάτων που δικαιούται. 

• Στη βελτίωση του βαθμού εξυπηρέτησης του πολίτη αφού θα μπορεί να διεκπεραιώνει τις υποθέσεις 

του που αφορούν θέματα υγειονομικού ενδιαφέροντος ή κοινωνικής πρόνοιας ταχύτερα 

και πιο αξιόπιστα, μέσω της δημιουργίας κατάλληλων υποσυστημάτων του Πληροφοριακού 

Συστήματος, 



162



• Στη δημιουργία των απαραίτητων βάσεων δεδομένων που αφορούν δικαιούχους επιδομάτων 

και αδειών, 

• Στην αποτελεσματικότερη υποστήριξη των δημοσίων φορέων με άμεση πρόσβαση σε καθορισμένα 

δεδομένα των λειτουργικών περιοχών Υγείας και Δημόσιας Υγιεινής και Κοινωνικής 

Πρόνοιας, 

• Στη μείωση του κόστους λειτουργίας και στην αύξηση της παραγωγικότητας των Νομαρχιακών 

Αυτοδιοικήσεων που θα επιτευχθεί με την αυτοματοποίηση και την απλούστευση των διαδικασιών 

που θα προσφέρει ο νέος τρόπος λειτουργίας μέσω του πληροφοριακού συστήματος, 

• Στην ανάπτυξη της υποδομής τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) προκειμένου 

οι Νομαρχίες να συνδεθούν με έργα που αφορούν σε υπηρεσίες προς τον πολίτη που σχεδιάζει 

το ΥΠΕΣΔΔΑ και η ΚτΠ. 



ΣΤΥ: 

Μελετητής Ασφάλειας: 

Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας 


Οι εφαρμογές βασίζονται σε δύο κεντρικά συνιστώντα μέρη (components) 

• Στον Oracle Database Server 

• Στον Oracle Application Server. 

Στο αμέσως επόμενο επίπεδο βρίσκονται τα ενδιάμεσα συνιστώντα μέρη 

• Oracle Collaboration 

• Data Abstraction layer (Hibernate/Toplink) 

• Controller Layer (Struts) 

• Portal CMS 

• Document Caching Engine 

• Oracle Workflow 

Τέλος υπάρχουν τα συνιστώντα μέρη (Components) στο επίπεδο των εφαρμογών που είναι 

• Υποσύστημα Υγείας 

• Υποσύστημα Κοινωνικής Πρόνοιας 

ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές 

περιοχές Υγείας και Δημόσιας Υγιεινής και Πρόνοιας), 

ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ ΚΑΙ ΠΡΟΝΟΙΑΣ 

Ένωση IBM Ελλάς Α.Ε. – QUALITY και RELIABILITY A.E. 

ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION 

SERVICES A.E. 

ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION 

SERVICES A.E. 



21 μήνες 

Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία 

Data Center: 

DC1 



163



• Διαδικτυακή Πύλη (Portal) 

• Πρωτόκολλο 

• Σύστημα Διοικητικής Πληροφόρησης (MIS) 

• Σύστημα Διαχείρισης Ροών Εργασίας 

Η διασυνδεσιμότητα και οι αλληλεπιδράσεις μεταξύ των υποσυστημάτων είναι οι ακόλουθες (σε 

bottom– up σειρά): 

• Όλες οι εφαρμογές λαμβάνουν υπόσταση (instantiate) στον Oracle Application Server. 

• Το Oracle Workflow είναι υποσύστημα Layer πάνω από τον Application Server 

• Το Portal CMS έχει πρόσβαση στα έγγραφα του συστήματος μέσω του Document Caching 

engine. Η πρόσβασή του στα υπόλοιπα δομημένα δεδομένα της Oracle DB γίνεται μέσω του 

Data Abstraction Layer. 

• Όλες οι thin client εφαρμογές έχουν πρόσβαση στο περιεχόμενο τους (μέσω του CMS) και στα 

δομημένα δεδομένα τους (μέσω του Data Abstraction Layer και του CMS). Για διαδικασίες με 

ροή καλείται το Oracle Workflow 

• Οι rich client εφαρμογές λαμβάνουν υπόσταση στον Forms/Reports Server και μέσω αυτού έ- 

χουν πρόσβαση στα έγγραφα μέσω Document Caching και στα δομημένα δεδομένα της Oracle 

DB με απ’ ευθείας πρόσβαση. Τα υποσυστήματα Υγείας και Κοινωνικής Πρόνοιας, κατά την 

εκτέλεση της διαδικασίας υποβολής (είτε από το Portal είτε από τις εφαρμογές) καλεί το υποσύστημα 

Πρωτοκόλλου για την Πρωτοκόλληση «εγγράφων» (αιτήσεων). Για διαδικασίες με 

ροή καλείται το Oracle Workflow. 


Το Σύστημα προσφέρει τις παρακάτω λειτουργίες: 

• Λειτουργίες Αυθεντικοποίησης και Ελέγχου Πρόσβασης 

• Υποσύστημα Πρωτοκόλλου 

• Υποσυστήματα Εφαρμογών 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

Υποσύστημα φορέων παροχής υπηρεσιών υγείας 

Υποσύστημα ιατρικών και παρα-ιατρικών επαγγελμάτων 

Υποσύστημα ελέγχου καταστημάτων υγειονομικού ενδιαφέροντος 

Υποσύστημα διαχείρισης φαρμάκων και εμβολίων 

Υποσύστημα λοιπών λειτουργιών περιοχής Υγείας και Δημόσιας Υγιεινής 

Υποσύστημα διαχείρισης επιδομάτων κοινωνικής πρόνοιας 

Υποσύστημα οικονομικής διαχείρισης εσόδων και εξόδων κοινωνικής πρόνοιας 

Υποσύστημα ελέγχου και εποπτείας Φορέων Κοινωνικής Αντίληψης και Φροντίδας 

Υποσύστημα Κοινωνικών Υπηρεσιών 

Υποσύστημα Παροχών Κοινωνικής Αρωγής 



164



• Υποσύστημα Πληροφόρησης Διοίκησης (MIS) 

• Λειτουργίες Ηλεκτρονικού Ταχυδρομείου / Επικοινωνίας Χρηστών (Collaboration) 

• Υπηρεσίες Διαδικτυακής Πύλης (Portal) 

• Υποσύστημα Διαχείρισης Ροής Εργασιών 

• Υποσύστημα Διαχείρισης Πόρων (π.χ. Βάσεων Δεδομένων, τμημάτων εφαρμογών, κτλ.) 

Οι χρήστες τους συστήματος είναι οι εξής: 

1. Προσωπικό Νομαρχιακών Διευθύνσεων Υγείας και Πρόνοιας 

• Εργαζόμενοι εντός των Νομαρχιακών Αυτοδιοικήσεων, στις Λειτουργικές Περιοχές Υγείας και 

Δημόσιας Υγιεινής και Κοινωνικής Πρόνοιας, βασικοί χρήστες του συστήματος. Διαχειρίζονται 

πληροφορίες οι οποίες έχουν ως αποδέκτες και τις υπόλοιπες ομάδες χρηστών του εξωτερικού 

περιβάλλοντος των ΝΑ. 

• Διοίκηση των Νομαρχιών για διοικητικές πληροφορίες με την έκδοση τυποποιημένων αναφορών 

και στατιστικών στοιχείων και αναλύσεων. 

• Διαχειριστές συστήματος, ανά Νομαρχία, με αποστολή τη διασφάλιση της επικοινωνίας για τεχνικά 

θέματα με τους κεντρικούς διαχειριστές και την παροχή βοήθειας στους απλούς χρήστες. 

Θα μπορούν να επέμβουν σε διαφορετικό επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές 

της. 

2. Χρήστες του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: 

• Υπηρεσίες των Διευθύνσεων του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Έχουν δυνατότητα 

αναζήτησης των εγγεγραμμένων στα αρχεία δεδομένων με ασφαλή σύνδεση με τη 

βάση δεδομένων του δικτύου των Νομαρχιών και τήρηση όλων των προβλεπόμενων για τα ευαίσθητα 

προσωπικά δεδομένα, και δυνατότητα διαχείρισης των φαρμάκων και εμβολίων που 

χορηγούν στις Νομαρχίες με στόχο τη βέλτιστη οικονομο-τεχνικά διαχείριση των σχετικών α- 

ποθεμάτων. 

• Διοίκηση του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Δυνατότητα σύνθεσης τυποποιημένων 

αναφορών, στατιστικών και απολογιστικών στοιχείων για τις δραστηριότητες των 

Νομαρχιακών Αυτοδιοικήσεων στις Λειτουργικές Περιοχές Υγείας και Δημόσιας Υγιεινής και 

Κοινωνικής Πρόνοιας, με δυνατότητα ορισμού των στοιχείων που εμφανίζονται από τον χρήστη 

(επιλέγοντας ανάμεσα στα πεδία που θα τηρούνται στα βασικά αρχεία του κάθε υποσυστηματος) 

(για παράδειγμα, σημαντικά στατιστικά στοιχεία θα μπορούσαν να προκύψουν με βάση 

το γεωγραφικό διαμέρισμα, την ηλικία, το φύλο κλπ.) 

• Κεντρικοί διαχειριστές (στο Υπουργείο Υγείας και Κοινωνικής Αλληλεγγύης ), με αποστολή 

τη συντήρηση της εφαρμογής και την ενημέρωσή της. Θα μπορούν να επέμβουν σε διαφορετικό 

επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές της. 

3. Λοιποί φορείς 

• Λοιποί συναλλασσόμενοι/συνεργαζόμενοι φορείς, όπως το ΚΗΥΚΥ. 

4. Ενδιαφερόμενοι Πολίτες και Οργανισμοί: 

• Πολίτες ή οργανισμοί που εντάσσονται στις λειτουργίες των ΝΑ, όπως πχ. γηροκομεία). Πληροφορίες 

σχετικές με τις λειτουργικές περιοχές. Ο ενδιαφερόμενος πολίτης αντλεί πληροφορίες 

για τα δικαιολογητικά κατά περίπτωση αιτήματος και για τις λεπτομέρειες επικοινωνίας με τη 



165



νομαρχία στην οποία ανήκει (διεύθυνση, τηλέφωνο, e-mail). Παρέχεται η δυνατότητα ηλεκτρονικής 

συνδιαλλαγής των πολιτών με τις Νομαρχιακές Αυτοδιοικήσεις, με ηλεκτρονική υποβολή 

αιτημάτων και δικαιολογητικών και ηλεκτρονική αποστολή πιστοποιητικών. 


Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό 

μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. 


Χρησιμοποιήθηκε η μεθοδολογία OCTAVE και οι σημαντικότερες απειλές που εντοπίστηκαν είναι 

οι εξής: 

• Παραβίαση Κανόνων Πολιτικής Ασφάλειας του ΟΠΣΝΑ 

• Αποκάλυψη ευαίσθητης πληροφορίας από την Κεντρική Βάση Δεδομένων. 

• Είσοδος Κακόβουλου Κώδικα σε πληροφοριακό σύστημα 

• Πλαστοπροσωπία από Εσωτερικό χρήστη 

• Βλάβη πληροφοριακού συστήματος 

• Πτώση Τάσεως στα πληροφορικά συστήματα. 


• Λανθασμένη χρήση εφαρμογής 

• Σεισμός 

• Πυρκαγιά 

• Βλάβη Πληροφοριακού Συστήματος 

• Τεχνική Βλάβη Υπηρεσίας. 

Έχουν ληφθεί διάφορα μέτρα ασφάλειας και εκτός από τα συνήθη μέτρα για τη διαθεσιμότητα, η 

κύρια έμφαση δίδεται στα Μέτρα Σχετικά με την Εμπιστευτικότητα και την Ακεραιότητα. Τα σημαντικότερα 

είναι τα εξής: 

• Σε ιδιαιτέρως ευαίσθητα δεδομένα συνιστάται η χρήση ψηφιακών πιστοποιητικών για την αυθεντικοποίηση 

του εκάστοτε χρήστη σε αυτά. 

• Χρήση του πρωτοκόλλου ασφάλειας SSL3 στα 128 bits (και με X.509 v.3 πιστοποιητικά των 

1024 bits όπως αναφέρθηκε παραπάνω) για την επίτευξη ασφαλούς επικοινωνίας των διαφορετικών 

επιπέδων της αρχιτεκτονικής της εφαρμογής. 

• Πρόσβαση σε επίπεδο βάσης δεδομένων, τόσο κατά την δημιουργία της όσο και για την online 

σύνδεση των εφαρμογών με αυτή, με διαφορετικά username/passwords. 

• Δυνατότητα ενεργοποίησης του logging σε επίπεδο βάσης δεδομένων με ταυτόχρονη απόθήκευση 

των log αρχείων στο λειτουργικό σύστημα και με δυνατότητα πρόσβασης σε αυτά μόνο 

από εξουσιοδοτημένα πρόσωπα. 



166



• Επιλεκτική κρυπτογράφηση ευαίσθητων δεδομένων κατά την αποθήκευση των τελευταίων στη 

βάση, όταν αυτό κριθεί αναγκαίο, με την χρήση ισχυρών αλγορίθμων π.χ. 3-key 3DES (168-bit 

keys). 

• Συνεχής έλεγχος σε κρίσιμα πεδία (query strings, URLs, post-ed data, cookies κλπ.) για την α- 

ποφυγή εισχώρησης ιομορφικού κώδικα (ή cross-site scripting) από μη εξουσιοδοτημένους 

χρήστες, οι οποίοι έχουν δικαίωμα πρόσβασης επίσκεψης σε μη-ευαίσθητες πληροφορίες. 

• Χρήση ενδεδειγμένων τεχνικών όπως το filter-out single quote, double quote, slash, back slash, 

semi colon, extended character (null, carry return, new line κ.α), για την αποφυγή παράνομης 

πρόσβασης σε αποθηκευμένα δεδομένα στο σύστημα. 

• Η ανάπτυξη ενός ολοκληρωμένου συστήματος διαχείρισης κλειδιών στις περιπτώσεις χρησιμοποίησης 

πιστοποιητικών θεωρείται αναγκαία. 

• Χρήση ειδικών μεθόδων ελέγχου για την διατήρηση της ακεραιότητας των πληροφοριών των 

βάσεων δεδομένων με την χρήση συναρτήσεων κατακερματισμού (hash) ή ακόμα και ψηφιακών 

υπογραφών όπου αυτό κρίνεται απαραίτητο. 

Υπάρχει προδιαγεγραμμένη πολιτική ασφάλειας, ενώ δεν προβλέπεται Σχέδιο Αποκατάστασης Καταστροφών. 

Προβλέπεται η λήψη αντιγράφων ασφαλείας και η ύπαρξη εφεδρικού εξοπλισμού, αλλά 

δεν προκύπτει η ανάγκη για εφεδρικό χώρο εγκατάστασης. 

5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές 

Εμπορίου και Ανωνύμων Εταιριών 


Το έργο «Ανάπτυξη και Εφαρμογή Συστημάτων Πληροφορικής των Νομαρχιακών Αυτοδιοικήσεων: 

Λειτουργικές Περιοχές Εμπορίου και Ανωνύμων Εταιριών» εντάσσεται σε μια σειρά έργων για 

τις ΝΑ, όπως αυτό που εξετάσαμε στην προηγούμενη ενότητα. Πιο συγκεκριμένα, στοχεύει στη 

βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακόλουθους άξονες: 

• Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου, 

• Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών, 

• Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων, εμφάνιση νέων υπηρεσιών), 

• Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα, 

• Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος, 

• Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.). 

Βασικός στόχος του πληροφοριακού συστήματος είναι να καλύψει δύο μεγάλες θεματικές κατηγορίες 

στις λειτουργικές περιοχές που αναφέρεται σε: 

• Υποστήριξη όλων των διαδικασιών που απορρέουν από τις αρμοδιότητες της κάθε λειτουργικής 

περιοχής, όπως αυτές εμφανίζονται στους κανονισμούς που διέπουν τη λειτουργία τους και 

με πλήρη εκμετάλλευση των τεχνολογιών πληροφορικής. Η θεματική αυτή κατηγορία εμπεριέχει 

αντικείμενα όπως: 

o 

o 

Αδειοδοτήσεις μέσω διαχείρισης μητρώων και λοιπών αρχείων, 

Παρακολούθηση και μηχανογραφική υποστήριξη διαδικασιών, 



167



o 

Εξαγωγή πληροφοριών και υποστήριξη προγραμματισμού. 

• Εισαγωγή και εκμετάλλευση νέων υπηρεσιών διαδικτυακής φύσης προς όφελος του εξυπηρετουμενου 

πολίτη και του φορέα, η οποία διασπάται σε δύο διαφορετικής φύσης υποενότητες: 

o 

o 

Δημιουργία αμφίδρομων ηλεκτρονικών διεπαφών με τον ενδιαφερόμενο προς εξυπηρέτηση 

των αιτημάτων του προς το φορέα. 

Παροχή μονόδρομης πληροφόρησης σχετικά με τις λειτουργικές περιοχές και τις διαδικασίες 

τους. 


ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές 

περιοχές Εμπορίου και Ανωνυμών Εταρειών) 


Ένωση SIEMENS Α.Ε. – QUALITY και RELIABILITY A.E. 

ΣΤΥ: 

ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E. 

Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και 

Μελετητής Ασφάλειας: Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, 

Οικονομικό Πανεπιστήμιο Αθηνών 



18 μήνες 


Data Center: 

DC1 

Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E. 


Το σύστημα απεικονίζεται στο Σχήμα 28 και περιλαμβάνει τα εξής δομικά στοιχεία: 

• Εξυπηρετητές Εφαρμογών (Application Servers): αποτελείται από ένα σύνολο φυσικών Application 

Servers, ανοικτής και ανεξάρτητης αρχιτεκτονικής εξοπλισμού και λειτουργικού συστηματος, 

αρχιτεκτονικής Java/J2EE, που χρησιμοποιείται για την εκτέλεση όλης της επιχειρηματικής 

λογικής των εφαρμογών. Επικοινωνεί με το περιβάλλον Web Server για μεταφορά δεδομενων 

από και προς τους σταθμούς εργασίας. Επικοινωνεί με τον Database Server μέσω JDBC 

για πρόσβαση/διαχείριση των δεδομένων των εφαρμογών. Επικοινωνεί επίσης για ανταλλαγή 

δεδομένων και συναλλαγών με άλλους φορείς, με χρήση του πρωτοκόλλου XML/HTTP(S) ή 

του πρωτοκόλλου Web Services (SOAP). 

• Εξυπηρετητής Βάσεων Δεδομένων (Database Server): σύστημα διαχείρισης σχεσιακών βάσεων 

δεδομένων, που χρησιμοποιείται για την πρόσβαση και την διαχείριση των δεδομένων των 

εφαρμογών. 

• Εξυπηρετητές Δικτύου (Web Servers): χρησιμοποιείται για την πρόσβαση των σταθμών εργασίας 

και επικοινωνεί μαζί τους με δεδομένα HTML και πρωτόκολλο HTTP/HTTPS. Απόμονώνει 

τους Application και Database Servers από την απευθείας πρόσβαση των χρηστών. Επικοινωνεί 

με το περιβάλλον Application Servers για την εξυπηρέτηση των συναλλαγών των χρηστών 

μέσω της κλήσης εφαρμογών επιχειρηματικής λογικής και την παραλαβή και ακόλουθη 

μεταφορά των αποτελεσμάτων σε μορφή δυναμικών HTML σελίδων προς τους σταθμούς εργασίας. 

Δεν επικοινωνεί απευθείας με τον Database Server. Η επικοινωνία με τους σταθμούς 

εργασίας θα γίνεται με το πρωτόκολλο HTTP/HTTPS. 



168



Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 



169



• E-mail/DNS/Development Server: χρησιμοποιείται σαν Mail (POP3) Server, μέσω του λογισμικού 

Oracle Mail, και σαν DNS Server. Λειτουργεί επίσης και σαν Server ανάπτυξης/δοκιμών, 

με το περιβάλλον ανάπτυξης/δοκιμών του Application Server και Database Server. 

• Σύστημα Ασφαλείας: χρησιμοποιείται για τον έλεγχο της πρόσβασης των σταθμών εργασίας 

προς το σύστημα. Συγκεκριμένα, αποτελείται από σύστημα Firewall που διαχωρίζει το TCP/IP 

δίκτυο σε ανεξάρτητες ζώνες, με ελεγχόμενη μέσω του Firewall επικοινωνία ανάμεσα στις ζώνες. 

Το Firewall έτσι υλοποιεί τις ζώνες δικτύου: εξωτερικό δίκτυο (ΣΥΖΕΥΞΙΣ), Ενδιάμεσο 

δίκτυο (DMZ) και Εσωτερικό Δίκτυο. Το Firewall επιτρέπει την πρόσβαση των σταθμών εργασίας 

μόνον προς το ενδιάμεσο δίκτυο DMZ (Demilitarized Zone). Στο DMZ τοποθετούνται, 

για πρόσβαση από τους χρήστες, το περιβάλλον των Web Servers, για πρόσβαση στις εφαρμογές, 

καθώς και το περιβάλλον και Mail/DNS Server για πρόσβαση προς τις υπηρεσίες POP3 

Mail Server και DNS (Domain Name Services). Το σύστημα ασφαλείας επιτρέπει την ελεγχόμενη 

διακίνηση των συναλλαγών των χρηστών από/προς τους Web Servers και Mail Server 

στο DMZ προς/από τους Application Servers στο εσωτερικό δίκτυο. 


Αποδέκτες των υπηρεσιών της λειτουργικής περιοχής Εµπορίου και Ανωνύµων Εταιριών, ανά λειτουργική 

περιοχή, είναι: 

Λειτουργική Περιοχή Εµπορίου 

• Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η αδειοδότηση των ε- 

παγγελµάτων πλανόδιου εµπορίου, η διενέργεια ελέγχων καταστηµάτων και επιχειρήσεων ως 

αποτέλεσµα καταγγελιών παραβάσεων αγορανοµικών διατάξεων, η διενέργεια προληπτικών ε- 

λέγχων καταστηµάτων και επιχειρήσεων µε στόχο τη προστασία των καταναλωτών. 

• Εµπορικές και βιοµηχανικές επιχειρήσεις: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις εµπορικές 

και βιοµηχανικές επιχειρήσεις είναι η αδειοδότηση λειτουργίας εµπορικών εκθέσεων, ο 

αρχικός και περιοδικός έλεγχος µέτρων και σταθµών των πρατηρίων καυσίµων, η παρακολούθηση 

των ψυκτικών εγκαταστάσεων και η διενέργεια τιµοληψιών µε στόχο το καθορισµό των 

τιµών στα βασικά αγαθά πώλησης προς τους δηµόσιους οργανισµούς. 

• Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες 

τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι η ενηµέρωση των α- 

ποτελεσµάτων των καθορισµένων αλλά και έκτακτων προγραµµάτων ελέγχου της αγοράς. 

Λειτουργική Περιοχή Ανωνύµων Εταιριών 

• Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η έγκριση άδειας σύστασης 

Ανωνύµων Εταιριών, η παροχή διαφόρων πληροφοριακών στοιχείων σχετικά µε το 

τηρούµενο µητρώο Ανωνύµων Εταιριών. 

• Ανώνυµες Εταιρίες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις Ανώνυµες Εταιρίες είναι η 

παροχή κατάλληλων βεβαιώσεων και δικαιολογητικών. 

• Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως απόδέκτες 

τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι ο έλεγχος των πρακτικών 

των οργάνων των Ανωνύµων Εταιριών ως προς την νοµιµότητα και την εκτέλεση των 

αποφάσεων, ο έλεγχος των υποχρεώσεων των Ανωνύµων Εταιριών καθώς επίσης και η επιβολή 

προστίµων στις Ανώνυµες Εταιρίες οι οποίες παραβαίνουν το ισχύον νοµοθετικό πλαίσιο. 



170





• Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ) 

Οι διαδικασίες οι οποίες θα προσφέρονται µέσω των ΚΕΠ είναι: 

o 

o 

Λειτουργική περιοχή Ανωνύµων Εταιριών 

1. Έγκριση Σύστασης Α.Ε. 

2. Έγκριση Εγκατάστασης Υποκαταστηµάτων Αλλοδαπών Ανωνύµων Εταιριών και ΕΠΕ 

3. Έκδοση Βεβαιώσεων 

4. Παροχή Πληροφόρησης 

Λειτουργική περιοχή του Εµπορίου: 

1. Υποβολή Καταγγελίας 

2. Έκδοση άδειας Λειτουργίας Εµπορικών Εκθέσεων 

• Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ» 

Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ, και με το ευρύ 

κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. 




• Εισαγωγή Ιομορφικού Λογισμικού 

• Αστοχία Λογισμικού Συστήματος και Δικτύου 

• Λάθη Χρήστη 

• Σφάλμα Συντήρησης Υλικού 

• Σφάλμα Συντήρησης Λογισμικού 

• Λάθος χειρισμού 

• Αστοχία Λογισμικού Εφαρμογών 

• Βλάβη Συσκευής Δικτυακής Πύλης (Network Gateway) 

• Πλαστοπροσωπία από εσωτερικούς χρήστες 

• Πλαστοπροσωπία από παρόχους υπηρεσιών 

• Πλαστοπροσωπία από εξωτερικούς χρήστες 

• Διήθηση Επικοινωνιών 

• Παρείσφρηση Επικοινωνιών 

• Παρεμβολή Επικοινωνιών 




171




• Κλοπή (από εξωτερικούς χρήστες) 

• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες) 





Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυναμίες, 

που πρέπει να αντιμετωπιστούν κατά προτεραιότητα: 

• Περιορισμένος βαθμός κατάρτισης των χρηστών σε θέματα ασφάλειας ΠΣ. 

• Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ. 

• Πολύπλοκη διοικητική οργάνωση των ΝΑ, σε σχετικά θέματα, και έλλειψη ενός επιτελικού οργάνου. 

• Ελλιπής κατάρτιση σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών σε 

θέματα ασφάλειας χρήσης διαδικτύου και ηλεκτρονικής αλληλογραφίας. 

• Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων 

• Ελλιπής κατάρτιση, αξιόλογου μέρους του προσωπικού και των μελλοντικών χρηστών, στην ε- 

παρκή χρήση ηλεκτρονικών υπολογιστών 

Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά 

των συστάσεων της μελέτης είναι οι εξής: 

• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας του ΠΣΕΑΕ και της εγκατάστασης 

του Data Center. 

• Η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit). 

• Η ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας σε στέλεχος με κατάλληλα προσόντα. 

• Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και 

της Μελέτης Ασφάλειας. 

• Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπικού 

σε βασικά θέματα Ασφάλειας. 

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχειας 

λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει 

Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α- 

σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site 

- failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι τα περισσότερα υλοποιήθηκαν 

από τον ανάδοχο σε ικανοποιητικό επίπεδο, ενώ για κάποια εκκρεμούσε η υλοποίησή τους. 



172



5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή 

Πολεοδομίας 

5.4.6.1 Στοιχεία ταυτότητας έργων 

Το έργο «Ηλεκτρονική Πολεοδομία Ι - Σύστημα Ηλεκτρονικής Παρακολούθησης και Αυτόματης 

Διαχείρισης των Πληροφοριών και των Εργασιών των Πολεοδομικών Υπηρεσιών» εντάσσεται σε 

μια σειρά έργων για τις ΝΑ, όπως τα δύο προηγούμενα έργα. Το παρόν έργο αφορά την ανάπτυξη 

Πληροφοριακού Συστήματος για τον Τομέα Πολεοδομίας που σχετίζεται εξ αντικειμένου με το 

ΥΠΕΧΩΔΕ. Σκοπός του παρόντος έργου είναι η βελτιστοποίηση της λειτουργίας των πολεοδομιών 

ανά την επικράτεια μέσω της αυτοματοποίησης ορισμένων εσωτερικών διαδικασιών τους. Επιμέρους 

στόχοι είναι: 

• Η απλοποίηση (μέσα στο ισχύον νομικό πλαίσιο) και αυτοματοποίηση των διαδικασιών των 

Π.Υ. με στόχο τη βελτίωση της ποιότητας των υπηρεσιών στους πολίτες 

• Η ηλεκτρονική καταγραφή της εσωτερικής κίνησης των εισερχομένων εγγράφων με ιδιαίτερη 

έμφαση στην παρακολούθηση των διαδοχικών χρεώσεων, που κατά κανόνα απαιτούνται για τη 

διεκπεραίωση μιας υπόθεσης 

• H γρήγορη αναζήτηση, επεξεργασία και εκτύπωση εισερχομένων και εξερχόμενων εγγράφων 

και αιτήσεων πολιτών και η δημιουργία, συντήρηση και ασφάλεια των αρχείων: 

o 

o 

Στελεχών οικοδομικών αδειών 

Πράξεων Αυθαιρέτων 

• Η παροχή διοικητικής πληροφόρησης στα αρμόδια στελέχη του ΥΠΕΣΔΔΑ και του ΥΠΕΧΩ- 

ΔΕ. 

• Η συνεργασία και η διαλειτουργικότητα με άλλους φορείς της Δημόσιας Διοίκησης. 

Πιο συγκεκριμένα, στοχεύει στη βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακόλουθους 

άξονες: 

• Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου (ακρίβεια, 

συνέπεια, ασφάλεια κλπ.). 

• Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών. 

• Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων και εμφάνιση νέων υπηρεσιών). 

• Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα. 

• Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος. 

• Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.). 



173




ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές περιοχές 

Πολεοδομίας) 


Ένωση Εταιρειών «SINGULAR INTERGATOR - UNISYSTEMS» 

ΣΤΥ 

ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E. 

Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και 

Μελετητής Ασφάλειας: Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, Οικονομικό 

Πανεπιστήμιο Αθηνών 




Data Center 

DC1 

Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας 


Η φυσική αρχιτεκτονική του πληροφοριακού συστήματος χωρίζει τους εξυπηρετητές σε δύο δικτυακές 

περιοχές (Demilitarized Zone, Trusted Domain) και τρία φυσικά στρώματα (Διεπαφή Χρήστη, 

Αποθήκευση Δεδομένων, Εφαρμογών). Ο εξυπηρετητής Βάσεων Δεδομένων και οι Εξυπηρετητές 

Εφαρμογών βρίσκονται στο ίδιο Domain. Οι Εξυπηρετητές Δικτύου βρίσκονται εκτός 

Domain στην Demilitarized Zone, μεταξύ των δύο τείχων προστασίας. Οι Εξυπηρετητές Δικτύου 

απαγορεύεται να επικοινωνήσουν με τον εξυπηρετητή Βάσεων Δεδομένων, με τον οποίο μπορούν 

να επικοινωνήσουν μόνο οι Εξυπηρετητές Εφαρμογών (βλ. Σχήμα 29) 

Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 



174




Οι χρήστες και οι υπηρεσίες του συστήματος είναι οι εξής: 

• Ηλεκτρονικό Πρωτόκολλο Πολεοδομιών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες) 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

Πρωτοκόλληση Εισερχομένων Εγγράφων 

Πρωτοκόλληση Εξερχομένων Εγγράφων 

Δυνατότητα επισύναψης ηλεκτρονικών εγγράφων στις εγγραφές πρωτοκόλλου 

Εκτύπωση Αποδεικτικού παραλαβής εγγράφου με τα στοιχεία του πρωτοκόλλου 

Χρέωση εισερχομένων θεμάτων στα αντίστοιχα τμήματα της Υπηρεσίας ή σε υπαλλήλους. 

Συσχέτιση εγγραφών με τις προηγούμενες εγγραφές της υπόθεσης. 

Αναζήτηση και καταχώριση των συναλλασσομένων με την Πολεοδομική Υπηρεσία, με 

διαχείριση αντίστοιχου αρχείου και αποφυγή των διπλοκαταχωρήσεων 

Αναζήτηση και καταχώριση διευθύνσεων που αφορούν ακίνητα και ιδιοκτησίες. Διαχείριση 

του αντίστοιχου αρχείου και δυνατότητα συσχέτισης εγγραφών με βάση την διεύθυνση. 

Δυνατότητα πολλαπλών αναζητήσεων των εγγραφών πρωτοκόλλου 

Εκτύπωση του Βιβλίου Πρωτοκόλλου και πληροφοριακών εκτυπώσεων. 

• Διαχείριση και Έκδοση Οικοδομικών Αδειών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες, 

Μηχανικοί) 

Παρακολουθείται όλη η διαδικασία έκδοσης οικοδομικής άδειας από το αρχικό στάδιο της υ- 

ποβολής του φακέλου για τον έλεγχο πληρότητας, μέχρι την χορήγηση της αδείας, η οποία θα 

πρέπει να συνοδεύεται κατ΄ ελάχιστον και από τη σάρωση του στελέχους της και του σχετικού 

Διαγράμματος Κάλυψης. Καταγράφονται όλες οι εσωτερικές και εξωτερικές κινήσεις του 

φακέλου, μέσω χρεώσεων σε συγκεκριμένους υπαλλήλους, και ενημερώνονται οι συναλλασσόμενοι 

μηχανικοί είτε μέσω email εφόσον είναι διαθέσιμο είτε με αυτόματη εκτύπωση και απόστολή 

με fax του δελτίου παρατηρήσεων για τυχόν παρατηρήσεις των ελεγκτών. Συνοπτικά οι 

λειτουργίες που υποστηρίζονται είναι: 

o 

o 

o 

o 

o 

o 

o 

Έλεγχος Πληρότητας φακέλου οικοδομικών Αδειών. 

Δημιουργία ηλεκτρονικού Φακέλου Οικοδομικών Αδειών με καταχώρηση των απαραίτητων 

στοιχείων. 

Δημιουργία και συντήρηση αρχείου διευθύνσεων που θα προσδιορίζουν όσο το δυνατό μοναδικά 

την κάθε κατασκευή ή ιδιοκτησία, και θα δίνει την δυνατότητα συσχέτισης της με 

σχετικές υποθέσεις. 

Χρέωση Φακέλου σε αρμόδιο χρήστη. 

Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την έκδοση Οικοδομικής Άδειας. 

Χρέωση κάθε Σταδίου Ελέγχου στο κατάλληλο τμήμα ή υπάλληλο. 

Καταγραφή των παρατηρήσεων του υπαλλήλου-ελεγκτή του σταδίου που προκύπτουν κατά 

τον έλεγχο. 



175



o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

Προγραμματισμό και Καταγραφή των συναντήσεων με τους αντίστοιχους μηχανικούς ή 

πολίτες για τις ανάγκες ελέγχου του σταδίου. 

Σύνδεση της κάθε παρατήρησης με τι εγγραφές πρωτοκόλλου που αντιστοιχούν στις απαντήσεις. 

Έκδοση Οικοδομικών Αδειών με δημιουργία ηλεκτρονικού αρχείου Αδειών 

Έλεγχος υπέρβασης του χρονικού ορίου έκδοσης άδειας (εννιάμηνο) 

Έκδοση λοιπών αδειών και βεβαιώσεων που χειρίζεται το τμήμα. 

Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος 

Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους. 

Δυνατότητα πολλαπλών αναζητήσεων οικοδομικών αδειών και υποθέσεων του τμήματος 

Εκτύπωση του Πίνακα Ενημέρωσης Κοινού. 

Εκτύπωση λειτουργικών αναφορών. 

• Έλεγχος Κατασκευών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες, Μηχανικοί) 

Παρακολουθείται όλη η διαδικασία ελέγχου κατασκευών ανά περίπτωση (αυθαίρετα-επικίνδυνα-υγρασίες), 

παρέχοντας στους χρήστες προσυμπληρωμένα έγγραφα με βάση τη κείμενη νομοθεσία, 

τα οποία καταχωρούνται αυτόματα στο φάκελο της ιδιοκτησίας, παρέχοντας στο χρήστη 

εργαλεία αναζήτησης και εύκολης διαχείρισης του αρχείου. Το υποσύστημα υπολογίζει 

αυτόματα τα πρόστιμα ανέγερσης και διατήρησης, με βάση τις ισχύουσες διατάξεις, ενώ παράλληλα 

ενημερώνει και παρακολουθεί το φάκελο ως προς τις προθεσμίες των ενεργειών της 

Π.Υ. και παρέχει στο χρήστη ημερολόγιο δραστηριοτήτων για την καλύτερη οργάνωση των 

διαδικασιών. Οι λειτουργίες που υποστηρίζει είναι: 

o 

o 

o 

o 

o 

o 

Διαχείριση καταγγελιών για αυθαίρετες κατασκευές. 

Δημιουργία ηλεκτρονικού Φακέλου Αυθαίρετων Κατασκευών με τις αντίστοιχες καταχωρήσεις 

των απαραίτητων στοιχείων. 

Δημιουργία και συντήρηση του αρχείου διευθύνσεων που θα προσδιορίζουν κατά το 

δυνατό μοναδικά κάθε κατασκευή ή ιδιοκτησία και θα δίνει την δυνατότητα συσχέτισης 

των υποθέσεων αυθαίρετων κατασκευών της αντίστοιχες σχετικές υποθέσεις και Οικοδομικές 

Άδειες. 

Χρέωση Φακέλου Υπόθεσης σε αρμόδιο χρήστη. 

Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου 

μιας καταγγελίας για αυθαίρετη κατασκευή, όπως: 

Προγραμματισμός Αυτοψίας 

1. Ορισμός υπαλλήλων αυτοψίας 

2. Διενέργεια Αυτοψίας 

3. Θυροκόλληση 

4. Καταγραφή αποτελεσμάτων αυτοψίας 

5. Υπολογισμός Προστίμων Ανέγερσης και Διατήρησης 



176



o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

o 

6. Διαχείριση Ένστασης κατά Έκθεσης Αυτοψίας και καταχώριση των αποφάσεων της 

επιτροπής. 

7. Διαχείριση Αίτησης Αποδοχής 

8. Οριστικοποίηση Αυθαιρέτου και ένταξη του σε λίστα για κατεδάφιση 

9. Υπολογισμός Ετήσιων Προστίμων Διατήρησης 

Δημιουργία Χρηματικών Καταλόγων 

Διαχείριση Αίτησης Εξαίρεσης από Κατεδάφιση. 

Διαχείριση Φακέλων Επικινδύνων Κατασκευών 


μιας καταγγελίας επικινδύνου, όπως: 

Προγραμματισμός Αυτοψίας 

Ορισμός υπαλλήλων αυτοψίας 

Διενέργεια Αυτοψίας 

Θυροκόλληση 

Έκδοση Διακοπής ή Συνέχισης Εργασιών 

Διαχείριση Ένστασης 

Διαχείριση Φακέλων Υγρασιών 


υπόθεσης που αφορά υγρασίες. 

Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος 

Μακροπρόθεσμο μαζικό προγραμματισμό Αυτοψιών 

Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους. 

Δυνατότητα πολλαπλών αναζητήσεων υποθέσεων του τμήματος και συσχέτιση τους με 

Οικοδομικές Άδειες. 

Εκτύπωση λειτουργικών αναφορών. 

• Διοικητική Πληροφόρηση (MIS) 

Λειτουργεί υποστηρικτικά για να συνεισφέρει στη λήψη επιχειρησιακών αποφάσεων που πρέπει 

ενδεχομένως να λάβουν διοικητικοί χρήστες του συστήματος. Αφορά την επεξεργασία των 

δεδομένων που συσσωρεύονται από τη λειτουργία των υπόλοιπων εφαρμογών του συστήματος. 

Το αποτέλεσμα της επεξεργασίας αυτής παρουσιάζεται στους εξουσιοδοτημένους χρήστες με 

τη μορφή κατάλληλων αναφορών (reports). Ο στόχος της εφαρμογής είναι τόσο να διαφαίνεται 

η εύρυθμη λειτουργία των Π.Υ. και του συστήματος όσο και να παρουσιάζει με συνοπτικό 

τρόπο συγκεντρωτικά στοιχεία των Π.Υ. 

• Πληροφόρηση Πολιτών (Portal) 

Περιλαμβάνει α) υπηρεσίες ενημέρωσης τις οποίες μπορεί να προσπελάσει κάθε πολίτης ανώνυμα 

και β) υπηρεσίες για τις οποίες ο χρήστης θα πρέπει να εισάγει τα στοιχεία του στο σύστημα 

και να αποκτήσει προσωπικό κωδικό πρόσβασης. 



177





• Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ) 

o 

o 

Πληροφοριακό Σύστημα Ηλεκτρονικής Πολεοδομίας 

1. Παροχή καταλόγου Θεμάτων Αίτησης από κατάλογο Θεμάτων Ηλεκτρονικής Πολεοδομίας. 

2. Εμφάνιση κατάλογου Απαιτούμενων Δικαιολογητικών ανά Θέμα αίτησης 

3. Αναζήτηση και επιστροφή στοιχείων προσώπου με βάση το ΑΦΜ από το αρχείο προσώπων 

της Ηλεκτρονικής Πολεοδομίας. 

4. Αναζήτηση και επιστροφή στοιχείων διεύθυνσης από καταλόγους του συστήματος της 

Ηλεκτρονικής Πολεοδομίας(πόλη, Δήμος, κλπ). 

5. Παραλαβή ηλεκτρονικής Αίτησης 

6. Αποστολή στοιχείων Πρωτοκόλλου Πολεοδομικής Υπηρεσίας μετά την πρωτοκόλληση 

ηλεκτρονικής αίτησης. 

7. Αποστολή απόρριψης πρωτοκόλλησης αίτησης και αιτιολογίας απόρριψης. 

8. Ενημέρωση κατάστασης αίτησης με βάση στοιχεία πρωτοκόλλου. 

Πληροφοριακό Σύστημα ΚΕΠ 

9. Αποστολή ηλεκτρονικής αίτησης προς το σύστημα Ηλεκτρονικής Πολεοδομίας. 

10. Παραλαβή και καταχώριση στοιχείων πρωτοκόλλου Πολεοδομικής Υπηρεσίας. 

• Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ» 

Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό 

μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. 




• Εισαγωγή Κακόβουλου Κώδικα-Ιομορφικού Λογισμικού 

• Αστοχία Λογισμικού Συστήματος και Δικτύου 






• Αδυναμία, Παρεμβολή και Παρείσφρηση Επικοινωνιών 




178



• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρή¬στες) 

• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρή¬στες) 




Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυναμίες, 

που πρέπει να αντιμετωπιστούν κατά προτεραιότητα: 

• Περιορισμένος βαθμός ευαισθητοποίησης και κατάρτισης των χρηστών σε βασικά θέματα α- 

σφάλειας ΠΣ. 

• Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ. 

• Πολύπλοκη διοικητική οργάνωση του συνόλου των Π.Υ. της χώρας και έλλειψη ενός συγκεντρωτικού 

διοικητικού οργάνου. 

• Συγκέντρωση όλων των εφαρμογών σε ένα συγκεντρωτικό σύστημα που εξυπηρετεί πολλές 

διάσπαρτες γεωγραφικά Π.Υ. 

• Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων 

• Ελλιπής κατάρτιση, σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών, 

στη χρήση ηλεκτρονικών υπολογιστών 


των συστάσεων της μελέτης είναι τα εξής: 

• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της εγκατάστασης του Data 

Center. 



• Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και 

της Μελέτης Ασφάλειας. 

• Η διασφάλιση της συνέχισης λειτουργίας των Πολεοδομικών Υπηρεσιών μετά από τεχνικό 

πρόβλημα και ιδιαίτερα η λήψη και διαχείριση των εφεδρικών αντιγράφων δεδομένων. 



Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχειας 



σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site 

- failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι αυτά υλοποιήθηκαν από 

τον ανάδοχο σε ικανοποιητικό επίπεδο. 



179



5.4.7 ΡΑΠΤΑΡΧΗΣ 


Σκοπός του Έργου με τίτλο «Μελέτη και Ανάπτυξη Συστήματος Αυτοματοποίησης της Διαδικασίας 

Διαχείρισης, Αρχειοθέτησης και Διάχυσης της Νομοθεσίας στο ευρύ Κοινό με την μορφή συνδρομητικής 

υπηρεσίας και της Διαδικασίας Αποτίμησης των Κανονιστικών Ρυθμίσεων» είναι η 

ορθή και έγκαιρη εκτέλεση της μελέτης και ανάπτυξης ενός συστήματος που θα αυτοματοποιήσει 

τη διαδικασία διαχείρισης της νομοθεσίας και ειδικότερα όσον αφορά: 

• στην αρχειοθέτηση της νομοθεσίας, 

• στην διάχυση της νομοθεσίας στο ευρύ κοινό (με μορφή συνδρομητικής υπηρεσίας) 

• στην διαδικασία αποτίμησης των κανονιστικών ρυθμίσεων. 


ΥΠΕΣ 


INTRACOM IT SERVICES 

ΣΤΥ: 

INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ 

Μελετητής Ασφάλειας: Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και 

Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, 

Οικονομικό Πανεπιστήμιο Αθηνών 



22 μήνες 

Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία 

Data Center: 

DC1 


Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ 

Το Πληροφοριακό Σύστημα αποτελείται από τα παρακάτω υποσυστήματα: 

• DOCASSET: Το βασικό υποσύστημα το οποίο θα είναι υπεύθυνο για τη διαχείριση των εγγράφων, 

την ψηφιοποίησή τους καθώς και τις υπηρεσίες που αφορούν το ηλεκτρονικό πρωτόκολλο. 

Για τη λειτουργία του συγκεκριμένου υποσυστήματος θα χρησιμοποιηθούν εκείνα τα τμήματα 

της ομώνυμης εφαρμογής τα οποία θα καλύπτουν τις απαραίτητες για τη λειτουργία του 

ΠΣ υπηρεσίες. Παράλληλα, θα χρησιμοποιηθεί το κατάλληλο λογισμικό για την υποστήριξη 

των βάσεων δεδομένων του ΠΣ (DocASSET Database). 

• BizSmart: Είναι το σύστημα μέσω του οποίου θα ορίζονται οι βασικές λειτουργίες και διαδικασίες 

ροών εργασίας του ΠΣ στο σύνολο του. Η λειτουργία του υποσυστήματος θα υποστηρίζεται 

από την ομώνυμη εφαρμογή (BizSmart web interfaces, BizSmart Server, BizSmart Database 

). 

• I-Box Portal Builder: Είναι το υποσύστημα το οποίο θα είναι υπεύθυνο για την παροχή των η- 

λεκτρονικών υπηρεσιών μέσω του Διαδικτύου χρησιμοποιώντας τμήματα της ομώνυμης εφαρμογής 

(Portal Site Web Services, Portal Site Administration, Portal Site, Portal Site Database). 

• Crystal Reports: Είναι το σύστημα μέσω του οποίο θα παράγονται δυναμικές αναφορές που 

σκοπό θα έχουν να παρέχουν στοιχεία σχετικά με την αποδοτικότητα, χρησιμότητα κλπ του ΠΣ 

ΡΑΠΤΑΡΧΗΣ και θα χρησιμοποιεί την ομώνυμη εφαρμογή. 



180



• ΑΙΧΜΕΣ: Το υποσύστημα όπου μέσω της ομώνυμης εφαρμογής θα διευκολύνει τις υπηρεσίες 

διαχείρισης του λογιστηρίου και των αποθηκών. 


Οι χρήστες των πληροφοριακών συστημάτων διακρίνονται στις ακόλουθες ομάδες: 

• Διαχειριστές Συστημάτων 

o 

o 

o 

Υπεύθυνος Μοντελοποίησης Διαδικασιών και Παρακολούθησης ηλεκτρονικής λειτουργίας 

διαδικασιών 

Υπεύθυνος Διαχείρισης Περιεχομένου 

Υπεύθυνος Διαχείρισης Χρηστών Συστημάτων και Δικαιωμάτων Πρόσβασης αυτών 

• Προσωπικό Υπηρεσίας διαχείρισης ΔΚΝ (βάσει διαδικασιών) 

o 

o 

o 

o 

o 

o 

o 

o 

Διοίκηση Υπηρεσίας 

Νομικοί Συνεργάτες 

Διοικητικό Προσωπικό 

Υπεύθυνοι Δακτυλογράφησης 

Προσωπικό Λογιστηρίου 

Υπεύθυνοι Αποθήκης Διακίνησης 

Προσωπικό Call Center και Help Desk 

Υπεύθυνος Παραγωγής CD/DVD 

• Προσωπικό λοιπών Δημοσίων Φορέων 

o 

o 

o 

Υπεύθυνος Προώθησης ΦΕΚ (από Εθνικό Τυπογραφείο) 

Υπεύθυνοι διαχείρισης λοιπών βάσεων δεδομένων νομικών πληροφοριών 

Συμμετέχοντες στη διαδικασία του ελέγχου ποιότητας και ανάλυσης των επιπτώσεων των 

κανονιστικών ρυθμίσεων/ αποφάσεων 

• Συνδρομητές Υπηρεσίας διαχείρισης ΔΚΝ 

o 

o 

Κύριοι Συνδρομητές (όλης της ύλης) 

Συνδρομητές Ειδικών Ενοτήτων 

• Ευρύ Κοινό - Πολίτες/Επιχειρήσεις που ενδιαφέρονται να ενημερωθούν για τη νομοθεσία 

Οι υπηρεσίες που παρέχονται είναι οι εξής: 

• Διαχείριση εγγράφων, Ψηφιοποίηση εγγράφων και Ηλεκτρονικό πρωτόκολλο: Το υποσύστημα 

διαχείρισης εγγράφων παρέχει τη δυνατότητα, οργάνωσης, αποθήκευσης και διακίνησης όλων 

των εγγράφων που χρησιμοποιούνται εσωτερικά (π.χ. ΦΕΚ, Τόμοι, τεύχη Πανδέκτη κλπ.), αλλά 

και στις συναλλαγές με εξωτερικούς φορείς, π.χ. πολίτες, άλλες υπηρεσίες, κτλ. 

• Διαχείριση Ροών Εργασίας: Σχετίζεται με το σχεδιασμό και τη διαχείριση των διαδικασιών 

(workflow management), καθώς και τη δυνατότητα ορισμού, εκτέλεσης και παρακολούθησης 



181



διαδικασιών που αφορούν στην «κάθετη» λειτουργία της υπηρεσίας, αλλά και διαδικασιών που 

άπτονται των δραστηριοτήτων παρακολούθησης και εκτέλεσης έργων. 

• Πληροφοριακή Πύλη Προβολής και Διάθεσης ΔΚΝ: Παρέχει πληροφόρηση, προβολή και διάθεση 

της Νομοθεσίας (ΔΚΝ) και αποτελεί ένα σύστημα διαχείρισης της Παροχής Ηλεκτρονικών 

Υπηρεσιών μέσω Διαδικτύου με σκοπό να επιτευχθεί η ολοκλήρωση όλων των παρεχομενων 

υπηρεσιών σε ένα ομοιόμορφο περιβάλλον. 

• Ανάπτυξη και Διάθεση τόμων ΔΚΝ και τευχών ΠΑΝΔΕΚΤΗ: Περιλαμβάνει το σύνολο των 

διαδικασιών για τη ανάπτυξη και διάθεση των τόμων της ΔΚΝ και τευχών του ΠΑΝΔΕΚΤΗ 

σε μαγνητικά μέσα (CD/DVD) καθώς και μέσω ηλεκτρονικού ταχυδρομείου. 

• Δυναμική Παραγωγή Αναφορών. 



• ΕΡΜΗΣ 

Το έργο ΕΡΜΗΣ παρουσιάζει τεράστια συνέργεια με το παρόν έργο μιας και η διάθεση των η- 

λεκτρονικών υπηρεσιών του παρόντος έργου θα γίνεται μέσα από την Εθνική Πύλη ΕΡΜΗΣ 

(το οποίο στην παρούσα φάση τελεί υπό ανάπτυξη). 

• Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ 

Η σύνδεση της Υπηρεσίας Διαχείρισης ΔΚΝ με το Data Center γίνεται μέσω του ΣΥΖΕΥΞΙΣ, 

και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. Επίσης προβλέπεται 

ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών χρηστών (στελέχη 

Δημοσίου) στις εφαρμογές που θα αναπτυχθούν, θα πραγματοποιείται με χρήση της PKI 

υποδομής του ΣΥΖΕΥΞΙΣ. 

• Τρίτα Συστήματα Δημοσίου Τομέα 

Το ΟΠΣ δύναται να συνδεθεί στο μέλλον με συστήματα άλλων φορέων, όπως το σύστημα του 

Εθνικού Τυπογραφείου, λοιπές βάσεις δεδομένων νομικού χαρακτήρα (Υπουργείο Δικαιοσύνης, 

Εθνικό Κοινοβούλιο και φορείς παραγωγής, εφαρμογής και κωδικοποίησης της νομοθεσίας), 

καθώς και η Κοινοτική Βάση Δεδομένων Νομικού Χαρακτήρα (NAT-LEX). 




• Εισαγωγή Κακόβουλου Κώδικα Λογισμικού 


• Βλάβη Εξυπηρετητή 



• Διήθηση Επικοινωνιών 




182








• Ελλειψη Προσωπικού 


• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες) 



των συστάσεων της μελέτης είναι οι εξής: 

• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της ε Η ταχεία υιοθέτηση και 

εφαρμογή της Πολιτικής Ασφάλειας του ΠΣ ΡΑΠΤΑΡΧΗΣ και της εγκατάστασης. 



• Η διαμόρφωση των Computer Rooms, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής 

και της Μελέτης Ασφάλειας. 



Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά τη διασφάλιση της συνέχειας 



σφαλείας. Δεδομένου ότι υπάρχει ένα Computer Room και στην υπηρεσία διαχείρισης ΔΚΝ, αυτό 

λειτουργεί ως εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site – failover site). 

5.4.8 Εθνική Πύλη ΕΡΜΗΣ 


Το αντικείμενο του έργου «Μελέτη και Ανάπτυξη της Κεντρικής Κυβερνητικής Διαδικτυακής 

Πύλης της Δημόσιας Διοίκησης για την Πληροφόρηση και Ασφαλή Διεκπεραίωση Ηλεκτρονικών 

Συναλλαγών των Πολιτών/Επιχειρήσεων (Εθνική Πύλη ΕΡΜΗΣ)» αποτελείται από τρεις διακριτές 

θεματικές περιοχές (άξονες): 

• Άξονας Α. Την ολοκληρωμένη συγκέντρωση και οργάνωση της κατάλληλης πληροφορίας από 

το σύνολο της Δημόσιας Διοίκησης και την διάθεσή της στο διαδίκτυο για την αξιόπιστη ενημερωση 

των πολιτών/επιχειρήσεων όσον αφορά τις συναλλαγές τους με την Δημόσια Διοίκηση 

και την αλληλεπίδραση τους με τον κρατικό μηχανισμό, από ένα κεντρικό σημείο, συμβάλλοντας 

στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 1ου και 2ου ε- 

πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επιχειρήσεις). 



183



• Άξονας Β. Την πλήρη υποστήριξη της διαλειτουργικότητας μεταξύ πληροφοριακών συστημάτων 

της Δημόσιας Διοίκησης και της ανάπτυξης και παροχής υπηρεσιών Ηλεκτρονικών Συναλλαγών 

με τον κρατικό μηχανισμό από ένα κεντρικό σημείο (ή και αποκεντρωμένα), συμβάλλοντας 

στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 3ου και 4ου ε- 

πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επιχειρήσεις). 

• Άξονας Γ. Την Ψηφιακή Αυθεντικοποίηση των πολιτών/επιχειρήσεων σε υπηρεσίες Ηλεκτρονικών 

Συναλλαγών της Δημόσιας Διοίκησης, συμβάλλοντας πλέον στην ανάπτυξη ασφαλών υ- 

πηρεσιών Ηλεκτρονικής Διακυβέρνησης σε κάθε επίπεδο. 


ΥΠΕΣ 


Info-Quest A.E.B.E., DECISION – SYSTEM INTEGRATION AE 

(Ο άξονας Γ’ υλοποιείται από την Adacom) 

ΣΤΥ: 

INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ 

Μελετητής Ασφάλειας: Υπάρχουν δύο μελέτες ασφάλειας, μία από το Πανεπιστήμιο 

Πειραιώς και μία από τον Ανάδοχο του έργου 



22 μήνες 

Τρέχουσα φάση έργου: Υπό ανάπτυξη 

Data Center: 

DC3 (υπό διαμόρφωση) 

Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ 


Στο Σχήμα 30 και στο Σχήμα 31 παρουσιάζεται η αρχιτεκτονική και τα υποσυστήματα του ΕΡΜΗ, 

ανά άξονα. 

Άξονας Α’ 

• Υποσύστημα Διαχείρισης Περιεχομένου και Ροών Εργασίας 

• Υποσύστημα Διαχείρισης Νομοθεσίας 

• Κεντρικό Μητρώο Δημοσίων Υπαλλήλων 

• Υποσύστημα Δημοσίευσης Περιεχομένου 

• Υποσύστημα Επικοινωνίας και Ανταλλαγής Απόψεων 

• Υποσύστημα Δημόσιων Διαβουλεύσεων και Σφυγμομετρήσεων 

• Υποσύστημα Διαχείρισης Κοινότητας Χρηστών 

• Υποσύστημα Διαχείρισης Banners 

• Υποσύστημα Εγγραφής Και Εξουσιοδότησης 

• Υποσύστημα Πίνακα Ανακοινώσεων για τους Εσωτερικούς Χρήστες Δημοσίων Φορέων 

• Υποσύστημα Διοικητικής Υποστήριξης 

Άξονας Β’ 

• Υποσύστημα Διαχείρισης Λίστας Κατηγοριών Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 



184



Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 



185



Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

• Υποσύστημα Διαχείρισης και Οργάνωσης Διαδικτυακών Υπηρεσιών 

• Υποσύστημα Διαχείρισης Αρχείων Δεδομένων και Μεταδεδομένων Διαδικτυακών Υπηρεσιών 

• Υποσύστημα Ορισμού και Ανάπτυξης Νέων Υπηρεσιών Ηλεκτρονικών Συναλλαγών 

• Υποσύστημα Συσχέτισης Αναγνωριστικών Χρηστών 

• Υποσύστημα Ηλεκτρονικών Πληρωμών 

• Υποσύστημα Αυτοματοποίησης Διαδικασιών Εφαρμογής Διαλειτουργικότητας και Ανάπτυξης 

Υπηρεσιών Ηλεκτρονικών Συναλλαγών 

• Υποσύστημα Παρακολούθησης Λειτουργίας και Ποιότητας Παρεχόμενων Υπηρεσιών Ηλεκτρονικών 

Συναλλαγών 

Άξονας Γ’ 

• Υποσύστημα Διαχείρισης Πιστοποιητικών (VSP – VeriSign Vertical Service Provider) 

• Υποσύστημα Διαχείρισης καρτών (Intercede MyID Card Management System) 

• Υποσύστημα Χρονοσήμανσης (nCipher Time Stamp) 



186




Άξονας Α’ 

Ο βασικός στόχος του Άξονα Α είναι να καταστεί ο Ερμής ως η μεγαλύτερη και σημαντικότερη 

πηγή πληροφορίας σε θέματα του Δημοσίου Τομέα που ενδιαφέρουν πολίτες και επιχειρήσεις. Ενοποιώντας 

την πληροφορία που υπάρχει διάσπαρτη στα διάφορα κυβερνητικά sites - σε συχνά αδόμητη 

μορφή - ο Ερμής φιλοδοξεί να εδραιωθεί στη συνείδηση του κοινού ως το μοναδικό βήμα που 

απαιτείται από το χρήστη να πραγματοποιήσει για να πληροφορηθεί για το Δημόσιο Τομέα (onestop-shop). 

Εφόσον δεν είναι ρεαλιστικό - τουλάχιστον σε αυτή τη φάση - το περιεχόμενο όλων των κυβερνητικών 

Φορέων να ενσωματωθεί στον Ερμή, και μάλιστα με ένα ενιαίο τρόπο, στόχος του Ερμή είναι 

να παρέχει στο κοινό και μια πλατφόρμα εκτεταμένης αναζήτησης σε όλους τους συνεργαζόμενους 

φορείς για περιεχόμενο. Το αποτέλεσμα αυτής της αναζήτησης θα είναι σύνδεσμοι στις ιστοσελίδες 

των φορέων. 

Τέλος, βασικός στόχος του Ερμή στον Άξονα Α είναι και η ενεργή συμμετοχή του κοινού στα δρώμενα 

που αφορούν στη Δημόσια Διοίκηση. Προς αυτή την κατεύθυνση θα παρέχει εργαλεία όπως 

σύστημα ανταλλαγής απόψεων, σφυγμομετρήσεις, mailing lists, newsletters, ανακοινώσεις, rss feed. 

Με τα προηγούμενα εργαλεία το έργο αποσκοπεί να παρουσιάσει ένα περισσότερο ανθρώπινο πρόσωπο 

προς το κοινό, το οποίο θα προσδίδει στο έργο κάτι παραπάνω από ένα portal παροχής περιεχομένου. 

Συνέργεια με άλλους Άξονες 

Για να επιτύχει τους στόχους του ο Άξονας Α θα πρέπει να έχει τη συνέργεια με τους υπόλοιπους 

δύο άξονες (Β και Γ). Συγκεκριμένα: 

• Ο Άξονας Β εμπλέκεται στο Ληξιαρχείο Διαδικτυακών υπηρεσιών, στο οποίο θα αποθηκεύεται 

κάθε διαδικτυακή υπηρεσία (web service). Σε αυτές θα ανήκουν και οι διαδικτυακές υπηρεσίες 

για τη συλλογή περιεχομένου, είτε από το σύστημα του Ερμή ή προς αυτό. Με αυτό τον τρόπο, 

κάθε Δημόσιος Φορέας που θα προσφέρει περιεχόμενο στον Ερμή με τη χρήση web services θα 

τις καταχωρεί στο Ληξιαρχείο Διαδικτυακών υπηρεσιών του Άξονα Β. Αντίστοιχα, για όποιους 

Φορείς είναι επιθυμητή η αυτόματη εισαγωγή περιεχομένου από τον Ερμή, θα πρέπει να 

υπάρχουν αποθηκευμένες στο Ληξιαρχείο κατάλληλες διαδικτυακές υπηρεσίες, τις οποίες οι 

Φορείς θα αναζητούν και θα αξιοποιούν. 

• Ο Άξονας Γ αφορά στη διαχείριση πιστοποιητικών και την ασφαλή είσοδο των χρηστών στο 

σύστημα. Η εμπλοκή του με τον Άξονα Α συνίσταται στην εγγραφή και είσοδο των εξουσιοδοτημένων 

χρηστών στα υποσυστήματα εισαγωγής και επικαιροποίησης περιεχομένου. 

Άξονας Β’ 

Ο κύριος στόχος του Άξονα Β είναι η διαλειτουργικότητα μεταξύ των φορέων της δημόσιας διοίκησης 

και των υπηρεσιών που αυτοί παρέχουν στους τελικούς δικαιούχους. Τα άμεσα και απτά 

οφέλη από μία τέτοια διασύνδεση είναι: 

• η αυτόματη παροχή των αποτελεσμάτων των ενδιάμεσων υπηρεσιών κατά τη συλλογή των δικαιολογητικών 

μία τελικής υπηρεσίας, 

• η ηλεκτρονικοποίηση των βημάτων των πιο συχνά χρησιμοποιούμενων υπηρεσιών, 

• η μετάβαση του πεδίου αρμοδιοτήτων για την ολοκλήρωση των ενδιάμεσων υπηρεσιών απόκλειστικά 

στους φορείς, 



187



• ο προσδιορισμός των περιττών βημάτων και η απλοποίηση των απαιτήσεων για τη διεκπεραίωση 

των υπηρεσιών, μέσα από την εφαρμογή κανόνων επιχειρησιακού ανασχεδιασμού. 

Είναι προφανές ότι ο ΕΡΜΗΣ δεν θα πρέπει να στοχεύσει σε μία εφήμερη και “φωτογραφική” διασύνδεση 

των υφιστάμενων συστημάτων αλλά να παρέχει τους απαραίτητους μηχανισμούς ώστε οι 

επιμέρους φορείς να σχεδιάζουν, υλοποιούν και να εισάγουν νέες υπηρεσίες παρέχοντας καλά ορισμένα 

και συμβατά σημεία διεπαφής (well defined interfaces) με την γενική αρχιτεκτονική της 

κεντρικής πύλης του ΕΡΜΗ. Η διαλειτουργικότητα των συστημάτων θα πρέπει να διασφαλίζεται: 

• Οργανωτικά. Η επιχειρησιακή διαλειτουργικότητα μπορεί να επιτευχθεί μόνο με ριζικό επανασχεδιασμό 

των διαδικασιών και αναδιοργάνωση των δομών της δημόσιας διοίκησης. Ο ΕΡ- 

ΜΗΣ μπορεί να βοηθήσει τους business analysts παρέχοντας εργαλεία σύνθετης αναζήτησης 

(π.χ. web services που παρέχονται από συγκεκριμένο φορέα) και εντοπισμού των πιθανών σημείων 

όπου οι χειρωνακτικές διαδικασίες μπορούν να ηλεκτρονικοποιηθούν. 

• Σημασιολογικά. Ο ΕΡΜΗΣ παρέχει πλήρεις μηχανισμούς επέκτασης των υπαρχόντων και δημιουργίας 

νέων σημασιολογικών λεξιλογίων ώστε να διασφαλίζεται ότι τα δεδομένα που αποστέλλονται 

έχουν την ίδια ερμηνεία τόσο για τον αποστολέα όσο και για τον παραλήπτη. 

• Τεχνολογικά, με την υιοθέτηση κοινών και ανοικτών τεχνολογικών υποδομών και προτύπων. 

Άξονας Γ’ 

Στόχος είναι η δημιουργία υποδομής Ψηφιακής Αυθεντικοποίησης Πολιτών/Επιχειρήσεων η οποία 

θα καλύπτει το σύνολο των απαιτήσεων του έργου, και η οποία θα λειτουργήσει κάτω από το γενικό 

πλαίσιο που θα οριστεί από το έργο «Ελληνικό Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής 

Διακυβέρνησης και Πρότυπα Διαλειτουργικότητας». Ο Ανάδοχος πρέπει να περιγράψει τις υπηρεσίες 

που θα υποστηρίζονται για μια ολοκληρωμένη υποδομή δημοσίου κλειδιού (ΡΚΙ) και δεν πρέπει 

να περιορισθεί μόνο στις υπηρεσίες Αυθεντικοποίησης, δεδομένου ότι η αλληλεπίδραση-συναλλαγή 

με τους πολίτες/επιχειρήσεις θα καταστήσει αναγκαία την παροχή και άλλων υπηρεσιών 

(πχ. χρονοσφραγίδες, διαχείριση τεκμηρίων κλπ ). 

Πιο συγκεκριμένα, προδιαγράφονται οι εξής τύποι πιστοποιητικών: 

• Κατηγορία Α: Ψηφιακό Πιστοποιητικό Κρυπτογράφησης. Το πιστοποιητικό αυτό προορίζεται 

για χρήση σε εφαρμογές κρυπτογράφησης και δοκιμές (tests). 

• Κατηγορία Β: Ψηφιακό πιστοποιητικό Αυθεντικοποίησης. Χρησιμοποιείται για την επιβεβαίωση 

της ταυτότητας του χρήστη κατά την ηλεκτρονική πρόσβαση του σε ελεγχόμενα σημεία 

(client authentication). 

• Κατηγορία Γ: Ψηφιακό πιστοποιητικό Υπογραφής. Προορίζεται για εφαρμογές ψηφιακής υπογραφής 

ηλεκτρονικών εγγράφων. 

Οι χρήστες τους συστήματος είναι οι εξής: 

• Εξωτερικοί Χρήστες 

Ως εξωτερικοί ορίζονται οι ιδιώτες χρήστες, οι οποίοι θα μπορούν να είναι από το ευρύ κοινό, 

πολίτες, επιχειρήσεις. Όλοι θα είναι αποδέκτες των υπηρεσιών του Ερμή, αλλά παράλληλα θα 

μπορούν να συνεισφέρουν και αυτοί στην προσθήκη περιεχομένου της Πύλης με την έννοια 

της συμμετοχής τους στα εργαλεία ανταλλαγής απόψεων (ομάδες συζήτησης, σφυγμομετρήσεις). 

Δηλαδή, οι εξωτερικοί χρήστες θα μπορούν να είναι εξουσιοδοτημένοι και μη. 

• Εσωτερικοί Χρήστες 



188



Ως εσωτερικοί ορίζονται οι χρήστες οι οποίοι ανήκουν στο δυναμικό του Ερμή (ΥΠΕΣ), στελέχη 

των συνεργαζόμενων με την Ερμή φορέων, καθώς και στελέχη του Δημοσίου Τομέα γενικότερα. 

Οι εσωτερικοί χρήστες θα είναι πάντα αυστηρά πιστοποιημένοι (certified users). Κατηγορίες 

εσωτερικών χρηστών σχετικές με τη διαχείριση περιεχομένου είναι οι ακόλουθες: 

o 

o 

Στελέχη των συνεργαζόμενων με τον Ερμή Δημόσιων Φορέων (χρήστες Υπάλληλοι Δημοσίων 

Υπηρεσιών). Οι χρήστες αυτοί θα εκτελούν συγκεκριμένες εργασίες για την επικαιροποίηση 

του περιεχομένου της Διαδικτυακής Πύλης του Ερμή. Με βάση την εργασία που θα 

εκτελούν στον Ερμή θα έχουν διακριτούς ρόλους στο σύστημα. Οι χρήστες αυτοί θα είναι 

και αποδέκτες των υπηρεσιών του Ερμή, με την έννοια ότι θα μπορούν να πλοηγηθούν στο 

portal ή να εκτελέσουν μια συναλλαγή όπως και οι ιδιώτες χρήστες. Επίσης, θα έχουν πρόσβαση 

σε ειδική περιοχή του Ερμή μέσω του Σύζευξις (extranet), στην οποία θα υπάρχουν 

εργαλεία forums, σφυγμομετρήσεων, ανακοινώσεων. 

Εποπτικοί Διαχειριστές, οι οποίοι θα έχουν πρόσβαση στη Μονάδα Διοικητικής Υποστηριξης 

του Ερμή, θα παρακολουθούν στατιστικά και αναφορές σχετικά με τη λειτουργία του 

Συστήματος, θα δημιουργούν ιδιοποιημένες σελίδες με πίνακες και αναφορές, και θα λαμβάνουν 

σχετικές αποφάσεις. Σε διαχειριστικό επίπεδο, θα αναλαμβάνουν και την επικοινωνία 

με τους υπευθύνους των συνεργαζόμενων με την Ερμή Φορέων για τον καθορισμό νέων 

απαιτήσεων και προδιαγραφών. 

Για τους άξονες Α’ και Β’ ορίζονται οι παρακάτω κατηγορίες χρηστών: 

• Δημόσιοι (Public Users): Σε αυτή την κατηγορία ανήκουν όλοι οι χρήστες που έχουν πρόσβαση 

στη λειτουργικότητα του ληξιαρχείου που προσφέρεται δημόσια μέσω του υποσυστήματος δημοσίευσης 

περιεχομένου του άξονα Α. Ενδεικτικοί δημόσιοι χρήστες είναι οι απλοί πολίτες 

(που ενδιαφέρονται να ενημερωθούν για τις παρεχόμενες ηλεκτρονικές υπηρεσίες) ή επιχειρήσεις 

(που αναζητούν τα διαθέσιμα Web Services που αφορούν υπηρεσίες συγκεκριμένου τύπου). 

• Εγγεγραμμένοι (Registered Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι ονομαστικοί χρήστες 

της πύλης (που μέσα από τη διαδικασία του self registration έχουν αποκτήσει μοναδικό αναγνωριστικό 

και συνθηματικό εισόδου). Οι εγγεγραμμένοι χρήστες έχουν αυξημένα δικαιώματα 

πρόσβασης σε ειδικές περιοχές του ληξιαρχείου (π.χ. εκτέλεση αναφορών, συνδυαστική αναζήτηση 

υπηρεσιών ή εγγράφων από τη βάση γνώσης του ληξιαρχείου). 

• Αυστηρά πιστοποιημένοι (Certified Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι χρήστες που 

έχουν αυθεντικοποιηθεί με τη χρήση ψηφιακών πιστοποιητικών (software ή hardware) για τη 

χρήση των εσωτερικών μηχανισμών διαχείρισης των υποσυστημάτων (προσθήκη νέων υπηρεσιών, 

εγγράφων, Web Services, δημιουργία και εκτέλεση αναφορών κλπ). Στην ουσία είναι ό- 

λοι οι εσωτερικοί χρήστες και οι διαχειριστές υπηρεσιών και υποδομών του συστήματος. 

Ενώ για τον άξονας Γ’ ορίζονται οι παρακάτω κατηγορίες χρηστών: 

• Μεριδιούχοι-Κάτοχοι Κλειδιών Θυρίδας Χρηματοκιβωτίου (Share Holders): είναι οι κάτοχοι 

των απόρρητων μεριδίων που είναι αναγκαία για την πρόσβαση στις Ασφαλείς Κρυπτογραφικές 

Μονάδες (ΑΚΜ) όπου φυλάσσονται οι Αρχές Πιστοποίησης. Για τον λόγο αυτό είναι κάτοχοι 

φυσικών ηλεκτρονικών κλειδιών πρόσβασης στις ΑΚΜ που αντιστοιχούν σε θυρίδα επιλεγμένης 

τράπεζας από το ΥΠΕΣ. 

• Κάτοχοι Κοινού Κλειδιού θυρίδων (Common Key Holders): είναι οι κάτοχοι του φυσικών 

κλειδιών των θυρίδων στις τράπεζες. Στις θυρίδες αυτές βρίσκονται οι ΑΚΜ και τα ηλεκτρονικά 

κλειδιά των μεριδιούχων. 



189



• Κάτοχοι Κλειδιού Χώρου Φύλαξης Online AKΜ Υπογραφής (Tier 3 Online Key Holders): είναι 

οι κάτοχοι του φυσικού κλειδιού για την πρόσβαση στον χώρο όπου βρίσκονται φυλαγμενες 

οι online ΑΚΜ. 

• Διαχειριστής Ασφάλειας (Security Manager): είναι υπεύθυνος για την συνολική ασφάλεια του 

Κέντρου Πιστοποίησης, και κάτοχος του Κοινού Κλειδιού. 

• Διαχειριστής Κλειδιών (Key Manager): είναι υπεύθυνος για την διαχείριση και την συνολική 

ασφάλεια του κρυπτογραφικού υλικού, και κάτοχος θυρίδας στο χρηματοκιβώτιο στην οποία 

φυλάσσονται τα αντίγραφα ασφαλείας του κρυπτογραφικού υλικού. 

• Διαχειριστές Συστημάτων (System Administrators): είναι υπεύθυνοι για την εύρυθμη λειτουργία 

της υλικοτεχνικής υποδομής του Κέντρου Πιστοποίησης. Δεν έχουν στην κατοχή τους ούτε 

απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν πρόσβαση σε κανέναν από τους χώρους 

όπου βρίσκεται το κρυπτογραφικό υλικό. Οι διαχειριστές των συστημάτων χωρίζονται σε τρείς 

κατηγορίες: 

• Πλήρους πρόσβασης: Είναι οι χρήστες οι οποίοι έχουν πλήρη πρόσβαση στα συστήματα και 

μπορούν να κάνουν τις πιο σοβαρές αλλαγές. Οι χρήστες αυτοί μπορούν να πραγματοποιήσουν 

αλλαγές τόσο σε επίπεδο λειτουργικού όσο και σε επίπεδο εφαρμογών. Κάθε φορά που πραγματοποιούν 

μια αλλαγή στο σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για 

μελλοντικούς ελέγχους. Επίσης οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι 

για τις αναβαθμίσεις και συντηρήσεις του συστήματος. 

• Μερικής πρόσβασης υπηρεσιών web: Είναι οι χρήστες οι οποίοι μπορούν να πραγματοποιήσουν 

αλλαγές σε επίπεδο υπηρεσιών web. Κάθε φορά που πραγματοποιούν μια αλλαγή στο σύστημα 

θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης 

οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντηρήσεις 

του συστήματος. 

• Μερικής Πρόσβασης υπηρεσιών εφημεριών: Είναι οι χρήστες οι οποίοι μπορούν να πραγματοποιήσουν 

αλλαγές σε επίπεδο εφαρμογών. Κάθε φορά που πραγματοποιούν μια αλλαγή στο 

σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης 

οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντηρήσεις 

του συστήματος. 

• Εξειδικευμένοι Μηχανικοί Υποστήριξης του ΥΠΕΣ (PSE): είναι υπεύθυνοι για την παροχή ε- 

ξειδικευμένων υπηρεσιών που σχετίζονται με τις λειτουργίες/υπηρεσίες του Κέντρου Πιστοποίησης. 

Δεν έχουν στην κατοχή τους ούτε απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν 

πρόσβαση σε κανέναν από τους χώρους όπου βρίσκεται το κρυπτογραφικό υλικό. 

• Υπάλληλοι υποστήριξης χρηστών (Customer Support): Είναι υπεύθυνοι για την ομαλή λειτουργία 

όλου του κύκλου ζωής των ψηφιακών πιστοποιητικών καθώς και για την υποστήριξη των 

τελικών χρηστών. Το customer support αποτελεί τις αρχές εγγραφής οι οποίες έχουν πρόσβαση 

στη κονσόλα διαχείρισης των ψηφιακών πιστοποιητικών. Οι χρήστες αυτοί θεωρητικοποιούνται 

στο σύστημα με χρήση ψηφιακού πιστοποιητικού το οποίο έχει εγκριθεί από τον τους 

ESA (Enterprise Service Administrators). Ο κάθε χρήστης έχει δυνατότητα έγκρισης των 

αιτήσεων των χρηστών για ψηφιακό πιστοποιητικό οι οποίες του έχουν ανατεθεί από τα εντεταλμένα 

γραφεία. 

• Υπάλληλοι ταυτοποίησης χρηστών: Είναι υπεύθυνοι για την επιβεβαίωση της ταυτότητας των 

χρηστών. Οι χρήστες αυτοί αποτελούν τα εντεταλμένα γραφεία τα οποία προωθούν τις αιτήσεις 

προς τις αρχές εγγραφής προς έγκριση. Τα εντεταλμένα γραφεία έχουν πρόσβαση στο MPKI 



190



και αφού ελέγξουν ότι τα στοιχεία είναι σωστά, αναθέτουν την έγκριση του πιστοποιητικού 

στις αρχές εγγραφής. 


Ηλεκτρονικές συναλλαγές που πρόκειται να ενσωματωθούν στη πύλη του ΕΡΜΗ: 

• ΕΛΓΑ: Αίτηση αποζημίωσης στον ΕΛΓΑ. 

• Εθνικό Τυπογραφείο: Αίτηση για αγορά ΦΕΚ. 

• Ελληνική Αστυνομία: Δήλωση στην Αστυνομία (συμβάντος κλοπής, εξαφάνισης) 

• Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Υποβολή αίτησης για χορήγηση 

λίστας άρθρου 13, Υποβολή προσφυγής – καταγγελίας. 

• Πρωτοδικεία Αθηνών, Θεσσαλονίκης, Πειραιώς: Ηλεκτρονική κατάθεση δικογράφων–αιτησεων, 

Παρακολούθηση πορείας αιτήσεων. 

• Ειδικό Ληξιαρχείο Αθηνών: Υποβολή αίτησης ληξιαρχικών πράξεων (μέσω των ΚΕΠ). 

• ΙΚΑ: Χορήγηση ασφαλιστικής ενημερότητας σε εργοδότες και επιχειρήσεις. 

• Εθνικό Δημοτολόγιο: Χορήγηση Αντιγράφου Πιστοποιητικού Γέννησης (απευθείας σε ΟΤΑ ή 

μέσω ΚΕΠ). 

• Πρωτοδικείο/Τμήμα Ποινικού Μητρώου: Χορήγηση Αντιγράφου Ποινικού Μητρώου (μέσω 

ΚΕΠ). 

• Στρατολογία: Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης. 

• ΟΑΕΔ: Υπηρεσία Εύρεσης Εργασίας. 

• Ελληνική Αστυνομία: Πληρωμή Προστίμων Τροχαίας. 


Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Από την α- 

ποτίµηση προκύπτουν σχετικά υψηλές απαιτήσεις προστασίας της ακεραιότητας (integrity), της ε- 

μπιστευτικότητας (confidentiality) και της διαθεσιμότητας (availability) των δεδοµένων που διαχειρίζεται 

το Υποσύστημα Ψηφιακής Πιστοποίησης Πολιτών/Επιχειρήσεων, και ιδιαίτερα των δεδομένων 

που αφορούν στη δημιουργία και επεξεργασία του ιδιωτικού κλειδιού της Αρχής Πιστοποίησης 

της ΕΠΕ και του σταθμού εργασίας Key Ceremony στον οποίο κρατούνται. Υψηλές απαιτησεις 

προκύπτουν επίσης για την προστασία της ακεραιότητας των δεδοµένων του Υποσυστηματος 

Εγγραφής και Εξουσιοδότησης Χρηστών, καθώς και για τη διατήρηση της ακεραιότητας όσων 

προσωπικών δεδομένων των χρηστών τηρεί το Σύστημα. 

Όσον αφορά στις δυνητικές απειλές που αντιµετωπίζουν η Πύλη και οι συναφείς εγκαταστάσεις, ε- 

κείνες οι οποίες παρουσιάζουν τη µεγαλύτερη πιθανότητα εµφάνισης ή το μαγαλύτερο βαθμό επικινδυνότητας 

(μέγιστος βαθμός επικινδυνότητας 6/7) είναι οι εξής: 

• Πλαστοπροσωπία από Εσωτερικούς Χρήστες 

• Πλαστοπροσωπία από Εξωτερικούς Χρήστες 

• Εισαγωγή Κακόβουλου κώδικα 

• Αστοχία Λογισμικού Συστήματος και Λογισμικού Δικτύου 



191



• Σφάλμα Συντήρησης Υλικού 

• Σφάλμα Συντήρησης Λογισμικού 


• Λάθος του Χρήστη 

• Διακοπή Ηλεκτροδότησης 

• Μη εξουσιοδοτημένη χρήσης εφαρμογής 

• Εισαγωγή Ιομορφικού Λογισμικού 

• Αποτυχία/Παρεμπόδιση Επικοινωνιών 

• Λάθος Χειρισμού 

• Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εντός του φορέα λειτουργίας) 

• Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εκτός του φορέα λειτουργίας) 

• Ηθελημένη πρόκληση βλάβης - βανδαλισμός (από άτομα εντός του φορέα λειτουργίας) 

Προϋπόθεση επιτυχούς εκδήλωσης των προαναφερόµενων απειλών αποτελεί η ύπαρξη αντίστοιχων 

αδυναµιών - σηµείων ευπάθειας. Στις αδυναµίες που εντοπίστηκαν, µεταξύ άλλων, περιλαµβάνονται 

οι εξής: 

• Η Πύλη ΕΡΜΗΣ διαχειρίζεται προσωπικά ή ευαίσθητα και οικονομικά δεδομένα χρηστών. 

• Η Πύλη ΕΡΜΗΣ εξυπηρετεί ένα σύνολο από υπηρεσίες που είναι κρίσιμες για τη δημόσια 

διοίκηση. 

• Απουσία οργανωτικο-διοικητικού σχήματος και ειδικότερα οργανωτικού σχήματος διαχείρισης 

της ασφάλειας. 

• Διασύνδεση με ποικίλα συστήματα δημοσίων φορέων (τα οποία στη διάρκεια της μελέτης δεν 

ήταν γνωστά). 

• Φόρτος εργασίας προσωπικού. 

Ως σημαντικότερα από τα προτεινόμενα αντίμετρα θεωρούνται η ανάθεση του ρόλου του Υπεύθυνου 

Ασφάλειας ΠΣ σε στέλεχος με τα κατάλληλα προσόντα, η υιοθέτηση Πολιτικής Ασφάλειας, 

η διαμόρφωση κατάλληλου χώρου στέγασης των βασικών υπολογιστικών συστημάτων και η κατάλληλη 

εκπαίδευση – κατάρτιση του προσωπικού. 

Πιο συγκεκριμένα, συνιστάται να δοθεί άμεση προτεραιότητα στην υλοποίηση του οργανωτικού 

σχήματος και κυρίως στην ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας ΠΣ. Ο Υπεύθυνος Α- 

σφάλειας θα αναλάβει άμεσα την ευθύνη της παρακολούθησης της υλοποίησης του Σχεδίου Ασφάλειας. 

Στα μέτρα για τα οποία απαιτείται επίσης άμεση ενέργεια περιλαμβάνεται η υιοθέτηση Πολιτικής 

Ασφάλειας ΠΣ από τη Διοίκηση του φορέα λειτουργίας και διαχείρισης της ΕΠΕ. Ιδιαίτερα 

σημαντική είναι η διαμόρφωση κατάλληλου χώρου φιλοξενίας εξυπηρετητών (computer room) για 

τις βασικές εφαρμογές του ΕΡΜΗ και ειδικότερα για τον Key Ceremony σταθμό εργασίας που φιλοξενεί 

τη δημιουργία/αποθήκευση του ιδιωτικού κλειδιού της Αρχής Πιστοποίησης ΕΡΜΗΣ (CA). 

Στα κυριότερα διοικητικά-οργανωτικά μέτρα περιλαμβάνονται, επίσης, η εκπόνηση και εφαρμογή 

προγράμματος εκπαίδευσης και ενημέρωσης σε ζητήματα χρήσης των ΠΣ για το προσωπικό του 



192



φορέα λειτουργίας της ΕΠΕ καθώς και η ενίσχυση της τεχνογνωσίας του προσωπικού του Τμήματος 

Πληροφορικής του φορέα λειτουργίας και διαχείρισης της ΕΠΕ σε εξειδικευμένα ζητήματα 

διαχείρισης της ασφάλειας των ΠΣ. 

Απαιτείται επίσης η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit). 

Όλα αυτά τα μέτρα είναι εξαιρετικής σπουδαιότητας για την ολοκληρωμένη διασφάλιση της 

ΕΠΕ. 

Ιδιαίτερη προσοχή θα πρέπει επίσης να δοθεί στη διασφάλιση της συνέχισης λειτουργίας και την 

αντιμετώπιση έκτακτων περιστατικών και ιδιαίτερα στη λήψη και διαχείριση των εφεδρικών αντιγράφων 

δεδομένων. Επιπλέον, η ενίσχυση της ασφάλειας απαιτεί τη χρήση εξοπλισμού, όπως συστηματα 

διαχείρισης δικτύων, ανανέωση των λειτουργικών συστημάτων κλπ. 

Ο σχεδιασμός του DRP έγινε με βάση τη γενική στρατηγική κατά την οποία επιλέχθηκε το Cold 

Site για Disaster Recovery. Η επιλογή της συγκεκριμένης στρατηγικής ανάκαμψης αφορά Διοικητική 

επιλογή λόγω χαμηλού οικονομικού προϋπολογισμού ανάκαμψης. 

Σύμφωνα με το NIST (National Institute of Standards and Technology), η στρατηγική Cold Site α- 

φορά τη δυνατότητα ανάκαμψης ενός πληροφοριακού συστήματος σε έναν εφεδρικό χώρο, ο 

οποίος διαθέτει μόνο ηλεκτρισμό και φυσικές εγκαταστάσεις αλλά κανένα στοιχείο πληροφοριακού 

εξοπλισμού μέχρι τη στιγμή του καταστροφικού γεγονότος. Ο χώρος είναι ανενεργός αλλά έ- 

τοιμος να δεχτεί τον εξοπλισμό του πληροφοριακού συστήματος που πρόκειται να ανακάμψει. Ο 

όρος «έτοιμος» αφορά στη φυσική διάθεση του χώρου ώστε να είναι άδειος και καθαρός. 

Ο χώρος που έχει επιλεγεί ως Cold site είναι οι εγκαταστάσεις της εταιρείας INFOQUEST AE. Το 

σύστημα ανάκαμψης καταστροφών (δευτερεύον σύστημα) αποτελεί μια μικρότερη έκδοση του 

πρωτεύοντος συστήματος και η αρχιτεκτονική του φαίνεται στο Σχήμα 32. Ο ιδιοκτήτης του ΠΣ 

της ΕΠΕ πρέπει να διατηρεί σε off-site χώρο ενημερωμένα και αξιοποιήσιμα αντίγραφα ασφαλείας 

για το χρησιμοποιούμενο λογισμικό και τα δεδομένα που αποθηκεύονται στις εφαρμογές του. Επίσης, 

στην ευθύνη του ανήκει και η σύνδεση του Cold site με το Σύζευξις. Η διαδικασία της ανακαμψης 

πρόκειται να γίνει από την Ομάδα Ανάκαμψης η οποία αποτελεί προσωπικό της εταιρείας 

INFOQUEST AE μετά την επίσημη ενεργοποίηση του SLA. Η ευθύνη για τη διαδικασία ανάκαμψης 

ανήκει στην εταιρεία INFOQUEST ΑΕ μέχρι το πέρας του έργου. 

Εκτός από τη μελέτη που περιγράφηκε, υπάρχει και ένα μεταγενέστερο έγγραφο «Σχέδιο Ασφάλειας 

Εθνικής Πύλης ΕΡΜΗΣ» (΄Εκδοση v0.5), το οποίο έχει επίσης υλοποιηθεί για λογαριασμό του αναδόχου 

και περιλαμβάνει Πολιτικές και Μέτρα Ασφαλείας. Η InfoQuest χρησιμοποίησε για τη δημιουργία 

Πολιτικών Ασφάλειας τα διεθνή πρότυπα NIST 800-18, ISO/IEC 17799 και ISO/IEC 27001, 

αλλά δεν αναφέρεται κάποια συγκεκριμένη μεθοδολογία. Το έντυπο αυτό περιλαμβάνει: 

• Πολιτική Ασφάλειας υψηλού επιπέδου, η οποία διασαφηνίζει τη στρατηγική της διοίκησης του 

ΥΠΕΣ και τις αρχές που ακολουθούνται όσον αφορά στην ασφάλεια των πληροφοριών. 

• Συγκεκριμένες Πολιτικές Ασφάλειας, οι οποίες παρουσιάζουν το πλαίσιο των ενδεδειγμένων μέτρων 

ασφάλειας που αφορούν συγκεκριμένους τομείς του πληροφοριακού συστήματος. Συγκεκριμένες 

Πολιτικές Ασφάλειας είναι: 



193



Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

1. Πολιτική Επικοινωνιών και Δικτύου 

2. Πολιτική Αποδεκτής χρήσης Συστημάτων Πληροφορικής 

3. Πολιτική Κρυπτογράφησης 

4. Πολιτική Διαχείρισης Περιστατικού Ασφάλειας Πληροφοριών 

5. Πολιτική παρακολούθησης Ασφάλειας Πληροφοριακών Συστημάτων 

6. Πολιτική ασφάλειας Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου 

7. Πολιτική Φυσικής Ασφάλειας 

8. Πολιτική Προστασίας από Κακόβουλο Λογισμικό 

9. Πολιτική Συνδεσιμότητας και Ανάθεσης Εργασιών σε Συνεργάτη 

10. Πολιτική Διαχείρισης Χρηστών 

• Πρότυπα, Διαδικασίες και Οδηγίες Ασφάλειας. Ένα Πρότυπο Ασφάλειας παρέχει οδηγίες με 

σκοπό την επίτευξη συγκεκριμένων πολιτικών, που συχνά συσχετίζονται με συγκεκριμένες τεχνολογικές 

προσεγγίσεις ή και προϊόντα. Οι διαδικασίες περιγράφουν τα βήματα που πρέπει να 

ακολουθηθούν με στόχο την διασφάλιση μιας εντεταλμένης λειτουργίας ή υπηρεσίας. Οι οδηγίες 

αποτελούν συμβουλευτική καθοδήγηση προς τα μέλη ενός πληροφοριακού συστήματος και βασίζονται 

στις βέλτιστες πρακτικές της Ασφάλειας των Πληροφοριών. Τα Πρότυπα, Διαδικασίες και 

Οδηγίες Ασφάλειας είναι: 



194



1. Πρότυπο Επικοινωνιών και Δικτύου 

2. Αρχιτεκτονική Ασφάλειας (Πρότυπο ΠΑ-03) 

3. Ασφάλεια Διαδικτύου και Ασφαλής Απομακρυσμένη πρόσβαση (Πρότυπο ΠΑ-08) 

4. Έλεγχος Προσπέλασης, Λειτουργίας και Διαχείριση (Πρότυπο ΠΑ-03) 

5. Ασφάλεια Βάσεων Δεδομένων (Πρότυπο ΠΑ-03) 

6. Back-End Servers Hardening (Πρότυπο ΠΑ-03) 

7. Front-End Servers Hardening (Πρότυπο ΠΑ-03) 

8. Ασφάλεια Τερματικών Σταθμών (Πρότυπο ΠΑ-03) 

9. Οδηγία - Computer Systems Security Violation Incident Reporting (ΠΑ-6) 

10. Διαδικασία - Incident Reporting (ΠΑ-6) 

Στην παρούσα φάση, δεν είχε διευκρινιστεί ποια από τις δύο μελέτες είχε ισχύ και ποια υιοθετήθηκε. 

5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση 

Υδάτινων Πόρων 


Οι στόχοι του έργου «Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση 

Υδάτινων Πόρων» είναι η δημιουργία υποδομής για παροχή υπηρεσιών προς το πολίτη και τις επιχειρήσεις 

και ειδικότερα: 

• Ενημέρωση των ενδιαφερομένων για θέματα σχετικά με τα δάση και τη διαχείριση των υδάτινων 

πόρων. 

• Παροχή διαδραστικών λειτουργιών όπως αιτήσεις, πληρωμές κλπ. και γενικότερα διεκπεραίωση 

συναλλαγών μέσω της πύλης. 

• Παροχή των υπηρεσιών μέσω κοινών σημείων εξυπηρέτησης και υποβοήθησης των ενδιαφερομένων. 

• Προβολή στο ευρύ κοινό των δυνατοτήτων που παρέχονται από τη λειτουργία της πύλης. 

Επίσης, στοχεύει στον εκσυγχρονισμό των αρμοδίων διευθύνσεων των περιφερειών. Στο πλαίσιο του 

εν λόγω εκσυγχρονισμού προβλέπονται: 

• Χρήση των λειτουργιών της πύλης από το προσωπικό των διευθύνσεων των περιφερειών. 

• Ενημέρωση του περιεχομένου της διαδικτυακής πύλης με τη λειτουργία εφαρμογής διαχείρισης 

περιεχομένου (CMS). 

• Ψηφιοποίηση δεδομένων των περιφερειών μέσω εφαρμογής διαχείρισης περιεχομένου. (CMS). 

• Βελτίωση του χρόνου και της ποιότητας εξυπηρέτησης των ενδιαφερομένων από τις αρμόδιες διευθύνσεις 

των περιφερειών. 



195



Φορέας έργου: ΥΠΕΣ 


Ένωση OTS - KOSMOS 

ΣΤΥ: - 

Μελετητής Ασφάλειας: Οι απαιτήσεις ασφάλειας θα καθοριστούν από τον ανάδοχο του έργου. 



Τρέχουσα φάση έργου: Εγκατεστημένο στις εγκαταστάσεις της ALTEC, υπό ανάπτυξη 

Data Center: Ενδέχεται να μεταφερθεί σε κάποιο Data Center στο τέλος του 2008 

Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων 


Στο Σχήμα 333 απεικονίζεται η αρχιτεκτονική Σχεδίαση του έργου: 

Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή: 

Μελέτη Εφαρμογής Αναδόχου) 



196




Η διαδικτυακή Πύλη θα έχει τις εξής κατηγορίες χρηστών: 

• «Εσωτερικοί» χρήστες, που είναι το Προσωπικό της Περιφέρειας. Οι χρήστες αυτοί θα έχουν 

πρόσβαση μέσω του Δικτύου ΣΥΖΕΥΞΙΣ με ειδική εξουσιοδοτημένη πρόσβαση. Θα ληφθεί επίσης 

υπόψη η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση των υ- 

παλλήλων των περιφερειών στο σύστημα. 

• «Εξωτερικοί» χρήστες (πολίτες και επιχειρήσεις που θα το επισκέπτονται μέσω Internet). 

Το έργο αυτό παρέχει τις εξής Υπηρεσίες Πληροφόρησης: 

• Πληροφορίες για τις Περιφέρειες (οργανωτική δομή, στόχοι, έργα, τοποθεσία, επικοινωνία κλπ). 

• Πληροφορίες για Δάση και διαχείριση υδάτινων πόρων (τοποθεσίες, βλάστηση, πρόσβαση κλπ). 

• Πληροφορίες για τον καιρό. 

• Πληροφορίες για την Οικονομική Ανάπτυξη, εκμετάλλευση κλπ. 

• Πληροφορίες για την συνεργασία με άλλους Φορείς. 

• Δελτία Τύπου, ανακοινώσεις, Συνέδρια, Ημερίδες, Εκδηλώσεις κλπ. 

• Στατιστικές πληροφορίες. 

• Πληροφορίες για τα δικαιώματα και τις υποχρεώσεις του πολίτη. 

• Σύνδεση με τις πύλες της Κυβέρνησης και με άλλους διαδικτυακούς τόπους. 

• Σύνδεση με ευρωπαϊκούς και διεθνείς διαδικτυακούς τόπους με πληροφορίες σε θέματα σχετικά 

με τα Δάση και την διαχείριση υδάτινων πόρων. 

• Δημοσίευση Αποφάσεων σχετικών με το αντικείμενο που ειδικεύεται η πύλη. 

• Καταγραφή παραπόνων και καταγγελιών. 

• Καταχώρηση επαγγελματιών. 

• Καταχώριση υπηρεσιών. 

Οι αλληλεπιδραστικές υπηρεσίες οι οποίες περιλαμβάνουν: 

• Σύνθετη αναζήτηση σχετικά με τα Δάση και την διαχείριση υδάτινων πόρων. 

• Καταγραφή παραπόνων και καταγγελιών του κοινού, και προτεινόμενοι τρόποι επίλυσης τους. 

Επίσης η υπηρεσία αυτή θα περιλαμβάνει και δομημένη μέθοδο απάντησης στο χρήστη. 

• Αναζήτηση δελτίων τύπου και δημοσιευμάτων 

• Αναζήτηση πληροφοριών σχετικά με πορεία αιτήσεων και αιτημάτων 

• Αναζήτηση επαγγελματιών της περιοχής 

• Αναζήτησης δημόσιων υπηρεσιών και φορέων του ευρύτερου δημόσιου τομέα της περιοχής 

• Αναζήτησης πληροφοριών σχετικά με Μέσα Μεταφοράς της περιοχής 

• Ηλεκτρονική Δημοσκόπηση Πολιτών 

Μεταξύ των ηλεκτρονικών συναλλαγών που θα παρέχονται μέσω της Πύλης είναι: 



197



• Ηλεκτρονικές Αιτήσεις για εκμετάλλευση Δασών και Υδάτινων πόρων. 

• Πληρωμή χρεών. 

• Αιτήματα και Καταγγελίες Πολιτών 

• Ηλεκτρονικές Αιτήσεις για Βεβαιώσεις. 



• Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ 

Η συσχέτιση με το έργο «Σύζευξις» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέων 

με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου, ενώ ενδέχεται να 

χρησιμοποιηθεί η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση 

των υπαλλήλων των περιφερειών στο σύστημα. 

• Εθνική Πύλη ΕΡΜΗΣ 

Δεν έχει οριστικοποιηθεί η διασύνδεση αλλά προβλέπεται η προβολή του μέσω του ΕΡΜΗ. 

• Κέντρα Εξυπηρέτησης Πολιτών 

Μπορούν να εξυπηρετηθούν από τα ΚΕΠ οι υπηρεσίες που ήδη προσφέρονται ηλεκτρονικά. 


Δεν ήταν διαθέσιμη στην παρούσα φάση. Δεν προβλέπεται Σύμβουλος Τεχνικός Υποστήριξης, ενώ οι 

απαιτήσεις και τα μέτρα ασφάλειας πρέπει να καθοριστούν από τον Ανάδοχο του έργου. 

5.4.11 Πολεοδομία ΙΙ 


Σκοπός του έργου «Ηλεκτρονική Πολεοδομία: Πολεοδομική Νομοθεσία και Σύστημα Πολεοδομικών 

Πληροφοριών για τον Πολίτη» είναι αφενός να παρέχει στα στελέχη των Πολεοδομικών Υπηρεσιών, 

στις Κεντρικές Υπηρεσίες του ΥΠΕΧΩΔΕ και στους πολίτες (ιδιώτες και μηχανικούς), έγκυρη και 

γρήγορη πληροφόρηση για το σύνολο της ισχύουσας πολεοδομικής νομοθεσίας και αφετέρου να 

συμβάλλει στην καλύτερη εξυπηρέτηση των πολιτών και στην αποτελεσματικότερη λειτουργία της υ- 

πηρεσίας με τη δυνατότητα άμεσης (μέσω διαδικτύου) παροχής των πληροφοριών που αφορούν ειδικές 

ρυθμίσεις - όρους και περιορισμούς δόμησης και τα ισχύοντα διατάγματα ρυμοτομίας. 


Νομαρχιακές Αυτοδιοικήσεις – Πολεοδομίες (ΥΠΕΧΩΔΕ) 


Ένωση SINGULAR LOGIC INTEGRATOR - UNISYSTEMS 

ΣΤΥ: 

Cyberstream - PANTEC 

Μελετητής Ασφάλειας: Cyberstream - PANTEC 



18 μήνες 


Data Center: 

DC2 

Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ 



198




Η αρχιτεκτονική ακολουθεί τα παρακάτω (βλ. Σχήμα 34): 

Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

• Πλήρης και ασφαλής διαχωρισμός των επιπέδων του ΟΠΣ ( database, application, web tier) με τη 

χρήση Firewalls και με την δημιουργία ζωνών ασφαλείας( Militarized/De-Militarized Zone). 

• Χρήση Server Farms και τεχνικών εξισορρόπησης φορτίου - Load Balancing με στόχο την αύξηση 

της διαθεσιμότητας, επεκτασιμότητας και απόδοσης των επιπέδων εφαρμογών ( Application- 

Tier) και διαδικτύου ( Web-Tier). 

• Χρήση τεχνικών και τεχνολογιών Database Clustering 

• Χρήση SAN (Storage Area Network) για την φιλοξενία των δεδομένων σε ένα ασφαλές περιβάλλον 

χωρίς μοναδικό σημείο αποτυχίας ( No Single Point of Failure), που να μπορεί να υποδεχθεί 

τον εκτιμώμενο όγκο δεδομένων του ΟΠΣ καθώς και κάθε απότομη αύξηση αυτού. 

• Χρήση τεχνολογιών Backup/Restore για τήρηση εφεδρικών αντιγράφων/αρχειοθέτηση των δεδομενων 

σε μαγνητικές ταινίες. 

• Χρήση τεχνικών και τεχνολογιών Monitoring/Management για παρακολούθηση και Διαχείριση 

του Επιπέδου Παροχής Υπηρεσιών ( Service Level Management/Monitoring) του Πληροφοριακού 

Συστήματος από ένα μοναδικό σημείο ( Single Point of Management – Single Point of Operations). 

• Χρήση τεχνικών και τεχνολογιών Auditingκαι Logging για πλήρη καταγραφή της πρόσβασης 

και δραστηριοτήτων των χρηστών στο Πληροφοριακό Σύστημα 

Αφορά: 



199



• τόσο στη γενική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα και γενικευμένη ισχύ για όλη 

την επικράτεια), 

• όσον και στην ειδική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα, τοπικά εντοπισμένη, σε 

όλα τα επίπεδα της πολεοδομικής γεωαναφοράς-διοικητικής διαίρεσης: Περιφέρεια – Νομός – 

Δήμος/Κοινότητα – Οικισμός). 


Αποτελούνται από (βλ. Σχήμα 35): 

(α) τη δημιουργία κεντρικής βάσης δεδομένων γενικής πολεοδομικής νομοθεσίας (ΚΒΓΝ), αντίστοιχου 

λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας 

έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη. 

(β) η δημιουργία βάσης δεδομένων ειδικής πολεοδομικής νομοθεσίας (ΚΒΕΝ), αντίστοιχου λογισμικού 

αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας έτσι 

ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη. 

(γ) η δημιουργία βάσης δεδομένων τοπικών ρυθμίσεων - όρων και περιορισμών δόμησης (GIS), 

αντίστοιχου λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της 

νέας νομοθεσίας έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη, με πεδίο εφαρμογής 

έναν περιορισμένο αριθμό περιοχών (δήμων) στο πλαίσιο της λειτουργίας ενός συγκεκριμενου 

αριθμού πιλοτικών Πολεοδομικών Υπηρεσιών. Στο Σχήμα 35 ακολουθεί αποτυπώνονται 

οι κατηγορίες χρηστών του πληροφοριακού συστήματος. 

Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

Οι χρήστες του Πληροφορικού Συστήματος μπορούν να διαχωριστούν στις ακόλουθες γενικές κατηγορίες: 

• Διαχειριστές Συστήματος: Είναι οι χειριστές υπεύθυνοι για τη συντήρηση και επίβλεψη του συστήματος 

και των λογαριασμών χρηστών οι οποίοι θα τηρούνται. 



200



• Χειριστές Νομοθετικού Έργου: Είναι οι χειριστές οι οποίοι θα συμμετέχουν στις ροές εργασίας 

παραγωγής Νομοθετικού Έργου. 

• Εσωτερικοί Χειριστές: Είναι οι εσωτερικοί στο σύστημα χειριστές (Υπάλληλοι ΥΠΕΧΩΔΕ, Στελέχη 

Πολεοδομικών Υπηρεσιών, Υπάλληλοι ΚΕΠ). 

• Εξωτερικοί Χειριστές: Είναι οι εξωτερικοί στο σύστημα χειριστές (Μηχανικοί, Δικηγόροι, Πολίτες). 



• Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ 

Η συσχέτιση με το έργο «ΣΥΖΕΥΞΙΣ» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέων 

με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου. 

• Βάση Δεδομένων EUR-Lex 

Το σύστημα της Γενικής Πολεοδομικής Νομοθεσίας μέσω του πίνακα «ΕΝΑΡΜΟΝΙΣΗΣ» μπορεί 

να διαλειτουργεί με την EUR-Lex η οποία είναι η Βάση Δεδομένων της Ευρωπαϊκής Ένωσης 

(Ε.Ε.) όσον αφορά την Νομοθεσία και την Νομολογία. 

• ΡΑΠΤΑΡΧΗΣ 

Ο στόχος της διαλειτουργικότητας του συστήματος το έργου αυτού με τον ΡΑΠΤΑΡΧΗ είναι η 

αυτόματη ενημέρωση του συστήματος της Πολεοδομικής Νομοθεσίας με τα δεδομένα του συστηματος 

ΡΑΠΤΑΡΧΗΣ που το αφορούν. Για το κοινό τμήμα της Πολεοδομικής Νομοθεσίας η 

πρωτογενής καταχώριση θα γίνεται στο σύστημα ΡΑΠΤΑΡΧΗΣ και τα δεδομένα θα μεταφέρονται 

στη βάση της Πολεοδομικής Νομοθεσίας. Η βάση της Πολεοδομικής Νομοθεσίας θα αναγνωρίζει 

τα δεδομένα που προέρχονται από το σύστημα ΡΑΠΤΑΡΧΗΣ και δεν θα επιτρέπει την 

τροποποίηση τους. Η επικοινωνία θα είναι μονόδρομη, από το σύστημα ΡΑΠΤΑΡΧΗΣ προς τη 

βάση της Πολεοδομικής Νομοθεσίας. 


Δεν ακολουθείται κάποια συγκεκριμένη μεθοδολογία, αλλά οι οδηγίες που προτείνονται σε διεθνή 

πρότυπα (π.χ. ΝIST, ISO). Τα παραδοτέα που εξετάστηκαν, στην τρέχουσα τους μορφή, δεν παρουσιάζουν 

αποτιμήσεις και μέτρα ασφαλείας για το συγκεκριμένο σύστημα, αλλά περιγράφουν τη μεθοδο 

με την οποία αυτά θα μπορούσαν να προκύψουν και κάποια παραδείγματα. Συνεπώς, δεν είναι 

δυνατή η εξαγωγή συμπερασμάτων. 

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας, η οποία αποτελείται από μια σειρά επιμέρους 

πολιτικών. Όσον αφορά τη διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις 

ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP), 

αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα ασφαλείας. 


Η πληροφοριακή υποδομή των Data Centers της ΚτΠ ΑΕ υποστηρίζει πολλές από τις υπηρεσίες οι 

οποίες περιλαμβάνονται στις 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης, προς τους πολίτες και 

προς τις επιχειρήσεις. Ενδεικτικά, αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται α- 



201



πό τα διάφορα ΟΠΣ που περιγράφηκαν παραπάνω και οι οποίες περιλαμβάνονται στις βασικές υπηρεσίες 

της Δημόσιας Διοίκησης: 

Υπηρεσίες προς Πολίτες 

• Υπηρεσίες αναζήτησης εργασίας 

• Εισφορές κοινωνικής ασφάλισης 

• Έκδοση οικοδομικής άδειας 

• Πιστοποιητικά (έκδοση, παραλαβή) 

Υπηρεσίες προς Επιχειρήσεις 

• Έναρξη επιχείρησης 

• Υποβολή στοιχείων σε στατιστικές υπηρεσίες 

1. Περιβαλλοντικές άδειες 

Επιπλέον, θα παρέχει την κτηριακή εγκατάσταση για την Εθνική Πύλη ΕΡΜΗΣ και διασυνδέεται με 

άλλες υποδομές όπως είναι το ΣΥΖΕΥΞΙΣ ή το ΟΠΣ των ΚΕΠ. Συνεπώς, τα Data Centers μπορούν 

να χαρακτηριστούν ως υποδομή της Δημόσιας Διοίκησης και σε κάποιες περιπτώσεις παρέχουν την 

κτηριακή, δικτυακή και οργανωτική υποδομή για άλλες υποδομές/υπηρεσίες της δημόσιας Διοίκησης. 


Για την αξιολόγηση του βαθμού κρισιμότητας των ΟΠΣ των Data Centers, εφαρμόζονται τα κριτήρια 


• Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή 

ή μείωση της ποιότητας μιας υπηρεσίας. 



• Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης. 

• Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική 

ή λογική εξάρτηση). 

• Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν 

αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την 


• Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη 

του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο. 

• Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσιας 

διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής. 



ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας 

έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης. 



202



• Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη 

του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών 

και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές. 

Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 29. 

Κριτήρια 


επηρεαζόμεν 

ων χρηστών 



( € ) 

Γεωγραφική 

εμβέλεια 

Αλληλεξάρτηση 

Ανάκαμψη 

(χρόνος, κόστος) 

Αντίδραση 


γνώμης 




ΔΔ 




προσωπικών- 

/εμπιστευτικ 

Επιπτώσεις από τη μη λειτουργία πληροφοριακής \ δικτυακής υποδομής 


>100,000 

10,000- 

100,00 

1,000-10,000 100-1,000 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ 

Διεθνής 

Καταλυτική ε- 

πίδραση σε της 

υποδομές/τομε 

ίς 

Υψηλό κόστος 

σε πολλούς τομείς, 

μακρύς 


(μηνες 

– χρόνια) 


αποδοκιμασία 

Σοβαρή παρεμπόδιση 

ή διακοπή 

της ανάπτυξης/εφαρμογής 




ανθρώπινων 

ζωών 


απόρρητων 


Εθνική 

Σημαντική 

επίδραση σε 

της υποδομές/τομείς 

Υψηλό κόστος, 

υψηλός 

απαιτουμενος 

χρόνος α- 

νάκαμψης 

(βδομάδες – 

μήνες) 

Περιορισμός 

κυβερνητικής 

αξιοπιστίας 

σε διεθνές 


Υποβάθμιση 

της διαπραγματευτικής 

και συναλλακτικής 

δυνατηςτητας 

της 

κυβέρνησης 


ζωής 

Παραβίαση 

νομοθεσίας 

και σοβαρή 

Περιφερειακ 

ή 

Μέτρια επίδραση 

σε της 

υποδομές/- 

τομείς 

Μέσο κόστος, 

σημαντικός 

χρόνος 


(μέρες – 

βδομάδες) 

Μετριασμός 



σε εθνικό 


Παρεμπόδιση 

της αποτελεσματικής 

ανάπτυξης/εφ 

αρμογής κυβερνητικών 


Σημαντικός 

τραυματισμό 

ς πολλών 

προσώπων 




Τοπική 

(πολλοί 

φορείς) 

Μικρή επίδραση 

σε της υποδομές/τομείς 


μικρός 

απαιτούμενος 


(ώρες – μέρες) 

Αρνητική 

δημοσιότητα 



φορέων 

Υπονόμευση 

της σωστής 

διαχείρισης ή 


ΔΥ 

Μικροτραυματ 

ισμοί πολλών 



πολλών 


Τοπική 

(λίγοι φορείς) 

Επίδραση σε 

μία υποδομή/- 

τομέα 


μικρός 



(ώρες) 

Αρνητική δημοσιότητα 

ε- 

νός κυβερνητικού 


Ανεπαρκής 


μιας ΔΥ 

Μικροτραυματισμός 

ενός 

προσώπου 


ενός προσώπου 



203



ών 

δεδομένων 

Επιρροή στην 

άποψη του 

κοινού για 

της 

ΤΠΕ/ΠΕΥ 


Απαξίωση των 

ΤΠΕ/ΠΕΥ από 

το κοινωνικό 

σύνολο 

ενόχληση 

πολλών 


Αρνητικός 

επηρεασμός 

κοινωνικού 

συνόλου 

ενόχληση της 


Κλονισμός 

εμπιστοσύνης 



Απογοήτευση 

επιμέρους 

ομάδων του 

πληθυσμού 


μεμονωμένων 

πολιτών 

Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών 

Εφαρμόζοντας τα παραπάνω κριτήρια προκύπτουν τα ακόλουθα στοιχεία: 

1. Αριθμός επηρεαζόμενων χρηστών. Τα Data Centers φιλοξενούν, μεταξύ άλλων, ΟΠΣ για όλες 

τις νομαρχιακές αυτοδιοικήσεις της χώρας, αλλά και την Εθνική Πύλη ΕΡΜΗΣ, συνεπώς ο α- 

ριθμός των χρηστών που εξυπηρετούν υπερβαίνει τους 100.000 χρήστες και η επίπτωση χαρακτηρίζεται 

ως Πολύ Υψηλή. 

2. Οικονομική Επίπτωση. Τα Data Centers δεν υποστηρίζoυν άμεσες οικονομικές συναλλαγές και 

συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμογές 

τις οποίες υποστηρίζουν.Συνεπώς, η επίπτωση κρίνεται ως ‘Χαμηλή’. 

3. Γεωγραφική Εμβέλεια. Tα ΟΠΣ παρέχουν υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητα 

των Data Centers με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή. 

4. Αλληλεξάρτηση. Τα ΟΠΣ εξαρτώνται λογικά από διάφορα άλλα ΟΠΣ δημοσίων φορέων με τα 

οποία διασυνδέονται, αλλά και από δίκτυα, όπως το ΣΥΖΕΥΞΙΣ. Ιδιαίτερα ο ΕΡΜΗΣ συνδέεται 

με πληθώρα συστημάτων που παρέχουν υπηρεσίες. Η παραβίαση κάποιας συνιστώσας της 

ασφάλειας των Data Centers και των σχετικών ΟΠΣ, εκτιμάται ότι θα είχε επίδραση και σε άλλες 

υποδομές. Συνεπώς η κρισιμότητα των Data Centers, με βάση το βαθμό αλληλοεξάρτησης, 

χαρακτηρίζεται ως Υψηλή. 

5. Ανάκαμψη. Τα ΟΠΣ λειτουργούν ως ένα συμπληρωματικό μέσο για την παροχή υπηρεσιών 

από τους δημόσιους φορείς και υπάρχουν εναλλακτικοί δίαυλοι για την παροχή των υπηρεσιών 

(π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα). Παρόλο αυτά, η εθνική Πύλη ΕΡΜΗΣ 

έχει υψηλές απαιτήσεις διαθεσιμότητας, ενώ τα ΟΠΣΝΑ υποστηρίζουν όλη τη λειτουργία των 

Νομαρχιακών Αυτοδιοικήσεων σε αυτές τις λειτουργικές περιοχές. Παράλληλα, η ανάκαμψη 

των ΟΠΣ ενδέχεται να απαιτεί μεγάλο χρονικό διάστημα και υψηλό κόστος, καθώς σε πολλές 

περιπτώσεις δεν υπάρχουν εναλλακτικές εγκαταστάσεις και υλοποιημένα σχέδια συνέχισης 

λειτουργίας. Συνεπώς, η κρισιμότητα των ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσιών 

του χαρακτηρίζεται ως Υψηλή. 

6. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος των ΟΠΣ και τον αριθμό των χρηστών, 

αλλά και το γεγονός ότι τα Data Centers παρέχουν υπηρεσίες του δημοσίου, εκτιμάται ότι πιθανή 

παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ θα επηρέαζε την κυβερνητική αξιοπιστία 

σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα των Data Centers με βάση το βαθμό εμπιστοσύνης 

της κοινής γνώμης χαρακτηρίζεται ως Μέτρια. 

7. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Καθώς τα Data Centers υποστηρίζουν 

πολλούς κυβερνητικών φορέων, και κατ’ επέκταση την εφαρμογή της κυβερνητικής πολιτικής, 

η παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ ενδέχεται να παρεμποδίσει την 



204



αποτελεσματική ανάπτυξη/εφαρμογή κυβερνητικών πολιτικών. Συνεπώς, η κρισιμότητα των 

Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Μέτρια. 

8. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτων, 

με τη μόνη εξαίρεση του ΟΠΣΝΑ για τη Λειτουργική Περιοχή της Υγείας. Συνεπώς η 

κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ Χαμηλή. 


των διακινούμενων ή διατηρούμενων δεδομένων των = ΟΠΣ, και με δεδομένο 

το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής 

νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Συνεπώς, η κρισιμότητα των Data 

Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή. 

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι η Εθνική Πύλη ΕΡΜΗΣ 

απότελεί κομβικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και 

επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω 

της χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε 

αρνητικό επηρεασμό του κοινωνικού συνόλου. Αν συνυπολογίσει κανείς ότι τα Data Centers 

υποστηρίζουν και άλλες πύλες (ΡΑΠΤΑΡΧΗΣ, ΑΜΕΑ, κλπ.), αλλά και ένα μεγάλο μέρος των 

υπηρεσίων των ΝΑ, το πλήθος των πολιτών που ενδέχεται να επηρεαστούν αρνητικά αυξάνει. 

Συνεπώς, η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ 

Υψηλή. 


Τα Data Centers συγκεντρώνουν πληθώρα ΟΠΣ τα οποία υποστηρίζουν πολλούς οργανισμούς του 

δημοσίου (Υπηρεσία Διαχείρισης Διαρκούς Κώδικα Νομοθεσίας (ΥΠΕΣ), Yπουργείο Τουριστικής 

Ανάπτυξης, Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, Ινστιτούτο Κοινωνικής 

Προστασίας και Αλληλεγγύης (ΙΚΠΑ), Νομαρχιακές Αυτοδιοικήσεις κ.ά.) αλλά και το σύνολο του 

δημοσίου με την εθνική Πύλη ΕΡΜΗΣ. Συνεπώς, αποτελούν κρίσιμη υποδομή για μεγάλο πλήθος 

δημοσίων υπηρεσιών. 

Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, οι περισσότερες υπηρεσίες 

βρίσκονται στο στάδιο 2 (αλληλεπίδραση) και στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ κάποιες 

βρίσκονται στο στάδιο 4 (συναλλαγής) σε πιλοτική λειτουργία. Τα ΟΠΣ διασυνδέονται σε μικρότερο 

ή μεγαλύτερο βαθμό με άλλα ΟΠΣ δημόσιων φορέων, ενώ υποστηρίζονται και από άλλες 

υποδομές όπως το ΣΥΖΕΥΞΙΣ. 

Στην παρούσα φάση, τα Data Centers αξιολογούνται ως υποδομή με Υψηλή κρισιμότητα, κυρίως 

λόγω του μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής γεωγραφικής έκτασης 

τους, αλλά και του γεγονότος ότι τα Data Centers φιλοξενούν μεγάλο πλήθος ετερογενών συστημάτων 

του δημοσίου. Το γεγονός ότι τα Data Centers θα φιλοξενούν την Εθνική Πύλη ΕΡΜΗΣ αυξάνει 

την κρισιμότητα για το σύνολο των ΟΠΣ. 



με τον αριθμό των χρηστών και την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ, όπως άλλωστε 

είναι αναμενόμενο, αφού τα Data Centers αποτελoύν τη βασική υποδομή για μια πληθώρα ε- 

φαρμογών και συστημάτων. Υψηλή επίσης χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια, 

στην Εμπιστοσύνη της κοινής γνώμης, στην Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών, 

αφού τα ΟΠΣ αφορούν στο σύνολο της Ελληνικής Επικράτειας. Παράλληλα, τα Data Centers 



205



έχουν υψηλές χρονικές και οικονομικές απαιτήσεις για την ανάκαμψή τους, σε περίπτωση που 

συμβεί κάποιο σημαντικό γεγονός που θα επηρεάσει το σύνολο των ΟΠΣ. 

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι τα Data Centers αποτελούν ‘Κρίσιμη 

Υποδομή της Δημόσιας Διοίκησης’. 

5.5 ΟΠΣ ΚΕΠ 

5.5.1 Στοιχεία ταυτότητας έργου 

Ο θεσμός των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ) λειτουργεί τα τελευταία χρόνια στην Ελλάδα, 

στοχεύοντας στην μείωση της γραφειοκρατίας στις συναλλαγές των πολιτών με τη δημόσια διοίκηση, 

υλοποιώντας πολιτο-κεντρικές διαδικασίες, μειώνοντας την ανάγκη πολλαπλών επισκέψεων και αξιοποιώντας 

εναλλακτικά κανάλια επικοινωνίας. 

Για την υποστήριξη και αυτοματοποίηση της παροχής υπηρεσιών και πληροφοριών μέσα από τα 

ΚΕΠ, το Υπουργείο Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΔΑ) υλοποίησε 

το έργο «Παροχή Υπηρεσιών SLA Μέσα Από την Ανάπτυξη και Λειτουργία των Απαραιτήτων Υποδομών 

ΤΠΕ για την Εξυπηρέτηση των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ)». Τα στοιχεία της ταυτοτητας 

του έργου είναι τα ακόλουθα: 




Newsphone Hellas 

ΣΤΥ - 

Μελετητής Ασφάλειας: Πανεπιστήμιο Πειραιώς 

Προϋπολογισμός έργου: 14.000.000 € 


Τρέχουσα φάση έργου: Περίπου 12 μήνες για τη λήξη 


Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ 

Το ΟΠΣ των ΚΕΠ, αποτελείται από οκτώ υποσυστήματα, τα οποία υλοποιούν τις βασικές λειτουργικές 

οντότητες του έργου. Συνοπτικά τα υποσυστήματα του ΟΠΣ είναι τα ακόλουθα: 

• Υποσύστημα 1: Οι βασικές λειτουργίες του είναι η συγκέντρωση, η κωδικοποίηση, η ψηφιοποίηση 

και η επεξεργασία του συνόλου της δημόσιας και διοικητικής πληροφορίας που σχετιζεται 

με την παροχή υπηρεσιών σε Πολίτες και Επιχειρήσεις, καθώς επίσης και ο σχεδιασμός και υλοποίηση 

βάσης δεδομένων διοικητικών πληροφοριών και εντύπων. 

• Υποσύστημα 2: Οι βασικές λειτουργίες του αφορούν την ανάπτυξη διαδικτυακής πύλης για την 

παροχή διοικητικής πληροφόρησης προς τους πολίτες και τις επιχειρήσεις και την εκτέλεση η- 

λεκτρονικών συναλλαγών μεταξύ πολιτών/επιχειρήσεων και της Δημόσιας Διοίκησης ή και μεταξύ 

υπηρεσιών της Δημόσιας Διοίκησης. 

• Υποσύστημα 3: Υποστηρίζει την παροχή πληροφοριών και την υποβολής αιτήσεων ηλεκτρονικών 

συναλλαγών μέσω τηλεφωνικού κέντρου (call center). 

• Υποσύστημα 4: Υποστηρίζει την παροχή υπηρεσιών και πληροφοριών μέσω των ΚΕΠ, με την α- 

νάπτυξη συστήματος διαχείρισης της λειτουργίας των ΚΕΠ. 



206



• Υποσύστημα 5: Αφορά την ανάπτυξη και υποστήριξη Ιδεατού Ιδιωτικού Δικτύου (Virtual Private 

Network – VPN) για τη διασύνδεση όλων των ΚΕΠ που βρίσκονται εκτός του ΣΥΖΕΥΞΙΣ. 

• Υποσύστημα 6: Έλεγχος – Διαχείριση – Λήψη Αποφάσεων. Περιλαμβάνει την ανάπτυξη υποσυστηματος 

παρακολούθησης και ελέγχου των επιδόσεων του ΟΠΣ και των εμπλεκομένων στην 

παροχή υπηρεσιών φορέων (π.χ. ΚΕΠ, Call Center, Δημόσιες Υπηρεσίες). 

• Υποσύστημα 7: Παροχή υπηρεσιών εκπαίδευσης. Υποστηρίζει την παροχή υπηρεσιών εκπαίδευσης 

και υποστήριξης για τη λειτουργία του ΟΠΣ. 

• Υποσύστημα 8: Υπηρεσίες υποστήριξης Help Desk. Αφορά την οργάνωση και λειτουργία Help 

Desk για την υποστήριξη των χρηστών. 

Η λογική αρχιτεκτονική του ΟΠΣ, περιλαμβανομένης της δικτυακής υποδομής φαίνεται στο Σχήμα 

36. Το κύριο κέντρο λειτουργίας (main site) βρίσκεται στο Κορωπί Αττικής, στις εγκαταστάσεις της 

εταιρείας HOL, ενώ το εναλλακτικό κέντρο λειτουργίας (failover site) βρίσκεται στις εγκαταστάσεις 

του αναδόχου (Newsphone) στην Καλλιθέα Αττικής (Λεωφόρος Θησέως). Το εναλλακτικό κέντρο 

περιλαμβάνει όλες τις κατηγορίες εξυπηρετητών σε μικρότερη όμως κλίμακα. 

Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) 

Κάθε κατηγορία από εξυπηρετητές (web servers, application servers, database servers, LDAP servers, 

authentication servers) υλοποιείται σε διάταξη υψηλής διαθεσιμότητας από τουλάχιστον δύο servers, 

ώστε να διασφαλίζεται η αδιάλειπτη λειτουργία του συστήματος. 



207



Το κεντρικό αποθετήριο πληροφοριών (data repository) διατηρεί το σύνολο της διοικητικής πληροφορίας 

που δημοσιεύεται στο portal και το σύνολο των συναλλαγών των πολιτών/ επιχειρήσεων με 

τα ΚΕΠ, το portal και το call center. Η διαχείριση του αποθετηρίου πραγματοποιείται μέσω των database 

servers. Η λήψη των αντιγράφων ασφαλείας πραγματοποιείται μέσω μηχανισμού αντιγραφής 

δεδομένων (data replication) ώστε να διατηρούνται τα δεδομένα σε πραγματικό χρόνο και στο κέντρο 

εναλλακτικής λειτουργίας, ώστε να είναι σε θέση να αναλάβει αυτόματα τη λειτουργία του συστήματος 

σε περίπτωση διακοπής λειτουργίας της βασικής εγκατάστασης. 

Η διοικητική πληροφορία παράγεται και επικαιροποιείται από το υποσύστημα διαχείρισης περιεχομενου 

(Content Management System - CMS) όπου υλοποιούνται οι ροές εργασίας για την έγκριση και 

δημοσίευσή της. Στις ροές αυτές συμμετέχουν τα μέλη της ομάδας συγκέντρωσης και επικαιροποίησης 

περιεχομένου. Η εγκεκριμένη πληροφορία δημοσιεύεται στο portal και είναι διαθέσιμη στους πολίτες, 

τους εργαζόμενους στα ΚΕΠ, τους εργαζόμενους στο call center και, φυσικά, στους διαχειριστές 

του Υπουργείου. Αντίστοιχα, οι πληροφορίες που αφορούν στη διεκπεραίωση αιτημάτων πολιτών 

και προέρχονται από υποβολή αίτησης στο portal, στο call center ή στο ΚΕΠ, διαχειρίζονται από 

διαδικτυακή εφαρμογή που υλοποιείται στους application servers. Στην εφαρμογή αυτή έχουν πρόσβαση, 

οι εργαζόμενοι στα ΚΕΠ, οι εργαζόμενοι στο call center και οι πολίτες, από διαφορετική διεπαφή 

(interface) για κάθε κατηγορία. Η εφαρμογή δίνει δικαιώματα αντίστοιχα με το ρόλο του χρήστη 

και ενεργοποιεί της ενέργειες που επιτρέπονται σε αυτόν. 

Τα προφίλ του συνόλου των χρηστών (εργαζομένων και πολιτών) καθώς και τα ηλεκτρονικά πιστοποιητικά 

της, αποθηκεύονται και διαχειρίζονται από τους LDAP servers. Οι servers αυτοί διασυνδεονται 

με τους αντίστοιχους LDAP servers του ΣΥΖΕΥΞΙΣ ώστε να είναι δυνατή η χρήση πιστοποιητικών 

που προέρχονται από το ΣΥΖΕΥΞΙΣ, ενώ βρίσκονται σε διάταξη υψηλής διαθεσιμότητας. 

Στην πράξη η διασύνδεση των LDAP server έχει πραγματοποιηθεί δοκιμαστικά μόνο στην εφαρμογή 

e-kep που αφορά της υπαλλήλους. 

Οι υπηρεσίες ηλεκτρονικού ταχυδρομείου υλοποιούνται μέσω των email servers και σε συνεργασία 

με το μηχανισμό πιστοποίησης (στην παρούσα φάση χρησιμοποιείται συνδυασμός username/password) 

παρέχουν ηλεκτρονικά γραμματοκιβώτια σε όλους της εργαζόμενους στα ΚΕΠ. 

Η πιστοποίηση των χρηστών πραγματοποιείται μέσω του authentication server καλώντας της αντίστοιχες 

υπηρεσίες καταλόγου. Εδώ υλοποιείται και η υπηρεσία single sign on, η μοναδική δηλαδή πιστοποίηση 

του κάθε χρήστη ανεξάρτητα του υποσυστήματος στο οποίο ζητάει πρόσβαση. Η υπηρεσία 

single sign on αφορά μόνο την πρόσβαση σε επίπεδο portal. 

Το σύστημα διαχείρισης διοικητικής πληροφορίας (Management Information System – MIS) είναι ε- 

γκατεστημένο στο χώρο του ΥπΕς όπου βρίσκονται τα απαραίτητα συστήματα (MIS application server 

και MIS BD server). Εκεί αποθηκεύονται ομαδοποιημένες της οι πληροφορίες που αφορούν τις 

συναλλαγές των πολιτών και τα δεδομένα λειτουργίας του συστήματος (στατιστικά, δείκτες παρακολούθησης 

SLA κλπ). 

Το ΟΠΣ διασυνδέεται με το ΣΥΖΕΥΞΙΣ (πέρα από τη διασύνδεση των αντίστοιχων LDAP servers), 

ώστε να επιτρέπεται η διασύνδεση με άλλα ΟΠΣ του ευρύτερου δημόσιου τομέα. Η σύνδεση πραγματοποιείται 

μέσω γραμμής των 8 Mbit (θεωρητικά διπλής, στην πράξη μίας γραμμής). 

Το περιβάλλον διασύνδεσης με άλλα πληροφοριακά συστήματα υλοποιείται – κατά κύριο λόγο – με 

τεχνολογία web services. Διακρίνονται δύο είδη υπηρεσιών: αυτές που δημοσιεύουν πληροφορίες 

του συστήματος (κυρίως διοικητική πληροφορία από το σύστημα ΕΡΜΗΣ) και αυτές που αλληλεπιδρούν 

με άλλα ΟΠΣ με σκοπό, κυρίως την παραγωγή πιστοποιητικών και την παροχή υπηρεσίας 

ηλεκτρονικών πληρωμών. Με τη χρήση web services θα υλοποιηθεί μία ενιαία διεπαφή (interface) 

που θα επιτρέπει ηλεκτρονικές πληρωμές από κάθε μέσο επικοινωνίας του πολίτη. Το interface αυτό 



208



διαφέρει ανάλογα με το ποιος το χρησιμοποιεί αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το 

portal όσο και για τους εργαζόμενους στα ΚΕΠ και το call center. Στην παρούσα φάση, δεν έχει υλοποιηθεί 

η συγκεκριμένη διεπαφή ηλεκτρονικών πληρωμών. 

5.5.3 Παρεχόμενες Υπηρεσίες 

5.5.3.1 Επιγραμματική περιγραφή 

Ο βασικός σκοπός του έργου είναι η ανάπτυξη και λειτουργία των απαραίτητων υποδομών ΤΠΕ για 

την αυτοματοποίηση των παρεχόμενων υπηρεσιών των ΚΕΠ. Οι υπηρεσίες παρέχονται με το 

μοντέλο Application Service Provider (ASP) από τον ανάδοχο του έργου, βάσει συμφωνητικού παροχής 

συγκεκριμένου επιπέδου υπηρεσιών (Service Level Agreement – SLA). Οι κύριοι στόχοι του έργου 

είναι: 

• Η υποστήριξη της λειτουργίας των ΚΕΠ για τη λήψη, διαχείριση και διεκπεραίωση αιτημάτων 

πολιτών. 

• Η παροχή πληροφοριών, υπηρεσιών και ηλεκτρονικών συναλλαγών διοικητικής φύσης σε 

πολίτες και επιχειρήσεις. 

• Η έγκυρη και έγκαιρη ενημέρωση της πολιτικής ηγεσίας για την ποιότητα και την αποτελεσματικότητα 

του μηχανισμού παροχής υπηρεσιών. 

Το σύστημα παρέχει στους πολίτες την δυνατότητα χρήσης πολλαπλών καναλιών επικοινωνίας, της 

είναι το Διαδίκτυο (Internet), τηλεφωνικά μέσω call center και των ίδιων των ΚΕΠ. 

Οι βασικές υπηρεσίες που παρέχει αφορούν την έκδοση διαφόρων πιστοποιητικών/εγγράφων από ένα 

πλήθος φορέων της δημόσιας διοίκησης. Συνολικά, τα ΚΕΠ διεκπεραιώνουν 1034 υπηρεσίες (διαδικασίες). 

Παρά το μεγάλο πλήθος, το μεγαλύτερο ποσοστό του συστήματος καλύπτεται από περίπου 

30 υπηρεσίες. 

Ηλεκτρονικά υποβάλλονται μόνο οι αιτήσεις για τις οποίες μπορούν τα ΚΕΠ να αναζητήσουν της α- 

παιτούμενες πληροφορίες υπηρεσιακά και δεν απαιτείται υπογραφή του πολίτη (περίπου 90 αιτήσεις). 

Αυτό οφείλεται στο γεγονός ότι το σύστημα στην παρούσα φάση δεν υποστηρίζει ψηφιακή υπογραφή 

για της πολίτες ώστε να μπορούν να υποβάλουν ηλεκτρονικά υπογεγραμμένα έντυπα-αιτήσεις. 

Προϋπόθεση για την ηλεκτρονική υποβολή και διεκπεραίωση όλων των αιτήσεων είναι η πιστοποίηση 

και αυθεντικοποίηση των χρηστών/πολιτών (μέσω ψηφιακού πιστοποιητικού και ηλεκτρονικής υ- 

πογραφής). 

Σε πιλοτική λειτουργία, βρίσκεται και η υπηρεσία ηλεκτρονικών πληρωμών με μετρητά σε 23 ΚΕΠ 

σε όλη την Ελλάδα, σε συνεργασία με την Τράπεζα Πειραιώς. Οι πληρωμές που υποστηρίζονται 

στην πιλοτική λειτουργία είναι: 

• Πληρωμές λογαριασμών ΔΕΗ, ΟΤΕ 

• Καταβολή ασφαλιστικών εισφορών της ΙΚΑ και ΟΑΕΕ-ΤΕΒΕ 

• Πληρωμή φορολογίας εισοδήματος 

• Πληρωμή ΦΠΑ 

• Πληρωμή τελών τηλεφωνίας στις εταιρείες σταθερής και κινητής τηλεφωνίας 

• Ανανέωση χρόνου ομιλίας καρτοκινητού 

• Εξόφληση πιστωτικών καρτών όλων των Ελληνικών Τραπεζών 



209



• Εξόφληση δανείων της Τράπεζας Πειραιώς. 

Αν και υπήρχε πρόβλεψη για μαζικότερη εγκατάσταση μηχανημάτων ηλεκτρονικών πληρωμών στο 

δίκτυο των ΚΕΠ σε επόμενη φάση, δεν έχει υλοποιηθεί μέχρι στιγμής. 

5.5.3.2 Πηγές/αποδέκτες δεδομένων 

Πηγές δεδομένων είναι όλοι οι φορείς της δημόσιας διοίκησης με τους οποίους συνεργάζεται. Ενδεικτικά 

αναφέρονται: 

1. Υπουργεία και Διευθύνσεις Υπουργείων 

2. Νομαρχιακές Αυτοδιοικήσεις 

3. Δήμοι και Κοινότητες 

4. ΑΕΙ και ΑΤΕΙ 

5. Ασφαλιστικά Ταμεία (ΙΚΑ, ΟΑΕΕ, ΟΓΑ, ΝΑΤ κλπ.) 

6. Οργανισμός Ελληνικών Αγροτικών Ασφαλίσεων (ΕΛΓΑ) 

7. Δημόσιες Οικονομικές Υπηρεσίες, ΓΓΠΣ/ΥπΟικΟ 

8. Αστυνομικά Τμήματα, Λιμενικές Αρχές 

9. Στρατολογικά Γραφεία ΥπΕθΑ 

10. Δικαστικές Αρχές (Εφετεία, Πρωτοδικεία, Ειρηνοδικεία κλπ.) 

11. Προξενικές Αρχές 

12. Νοσηλευτικά Ιδρύματα 

13. ΔΕΗ, ΕΥΔΑΠ 

14. Επιμελητήρια. 

Το σύστημα στηρίζεται κατά βάση στην αποστολή στοιχείων μέσα από φόρμες που βασίζονται στο 

πρότυπο pdf. Οι αιτήσεις των πολιτών συμπληρώνονται, πρωτοκολλούνται από το σύστημα και τα 

πεδία της pdf φόρμας μεταφέρονται μέσω επικοινωνίας ftf στην κεντρική βάση δεδομένων όπου και 

αποθηκεύονται. 

5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ 

Εφόσον οι υπηρεσίες που παρέχουν τα ΚΕΠ στους πολίτες αφορούν πλήθος φορέων της δημόσιας διοίκησης, 

είναι αναμενόμενο ότι το ΟΠΣ των ΚΕΠ θα πρέπει να διασυνδέεται με διάφορα άλλα ΟΠΣ 

των φορέων αυτών. Της, στην παρούσα φάση από το σύνολο των εξυπηρετούμενων υπηρεσιών των 

ΚΕΠ, περίπου στο 90% η διακίνηση της πληροφορίας μεταξύ των ΚΕΠ και των συστημάτων των δημοσίων 

φορέων δεν γίνεται ηλεκτρονικά αλλά με συμβατική αλληλογραφία, φαξ, courier, email κλπ. 

5.5.4.1 Eπιγραμματική περιγραφή 

Οι διασυνδέσεις με εξωτερικά συστήματα (από δημόσιους φορείς ή οποιαδήποτε άλλη οντότητα) υ- 

ποστηρίζονται από το «Υποσύστημα Διασύνδεσης με Ηλεκτρονικές Υπηρεσίες». Η διασύνδεση με 

άλλα πληροφοριακά συστήματα, τόσο σε επίπεδο πληροφόρησης όσο και σε επίπεδο διεκπεραίωσης, 

υλοποιείται με την τεχνολογία web services έτσι ώστε να επιτρέπει την επαναχρησιμοποίηση υποδο- 



210



μών ανοικτής αρχιτεκτονικής. Για αυτό είναι επεκτάσιμη για μελλοντικές διασυνδέσεις με άλλα συστηματα, 

όποτε υπάρχει δυνατότητα και από τα αντίστοιχα άλλα συστήματα. 

Στο πλαίσιο του έργου που ανέλαβε ο ανάδοχος, έχουν ήδη υλοποιηθεί και βρίσκονται σε παραγωγική 

λειτουργία οι ακόλουθες διασυνδέσεις: 

1. ΑΥΤΟΤΕΛΕΣ ΤΜΗΜΑ ΠΟΙΝΙΚΟΥ ΜΗΤΡΩΟΥ 

1.1. Χορήγηση Αντιγράφου Ποινικού Μητρώου 

2. ΕΙΔΙΚΟ ΛΗΞΙΑΡΧΕΙΟ 

2.1. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γέννησης 

2.2. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γάμου 

2.3. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Θανάτου 

3. ΣΤΡΑΤΟΛΟΓΙΑ 

3.1. Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης 

4. ΕΠΙΜΕΛΗΤΗΡΙΑ 

4.1. Αρνητική βεβαίωση έναρξης 

4.2. Βεβαίωση ελέγχου καταστατικού 

4.3. Βεβαίωση θεώρησης καταστατικού 

4.4. Βεβαίωση ταμειακής ενημερότητας 

4.5. Πιστοποιητικό γενικού μητρώου 

4.6. Πιστοποιητικό ειδικού μητρώου αντιπροσώπων 

4.7. Πιστοποιητικό ειδικού μητρώου αργυροχρυσοχόων 

4.8. Πιστοποιητικό ειδικού μητρώου ασφαλιστών 

4.9. Πιστοποιητικό ειδικού μητρώου εξαγωγέων 

4.10. Πιστοποιητικό ειδικού μητρώου μεσιτών αστικών συμβάσεων 

4.11. Πιστοποιητικό ιστορικού μέλους 

5. ΕΛΓΑ 

5.1. Πιστοποίηση στοιχείων παραγωγού 

5.2. Χορήγηση βεβαίωσης προϋπηρεσίας για εποχιακούς γεωπόνους/ κτηνιάτρους 

6. ΝΑΤ 

6.1. Χορήγηση ενημερωτικού σημειώματος ποσού μηνιαίας κύριας/ επικουρικής σύνταξης για 

της τρεις τελευταίους μήνες, της συνταξιούχους του Ναυτικού Απομαχικού Ταμείου ΝΑΤ 

7. ΙΚΑ 

7.1. Έκδοση βεβαίωσης περί μη ασφάλισης ΙΚΑ 

7.2. Έκδοση βεβαίωσης περί μη συνταξιοδότησης από το ΙΚΑ 

7.3. Έγγραφή – Πιστοποίηση Εργοδότη για χρήση Ηλεκτρονικών Υπηρεσιών 



211



8. Ανταλλαγή περιεχομένου με site ΑΜΕΑ 

8.1. Χορήγηση βεβαίωσης αναπηρίας 

8.2. Βεβαίωση χορήγησης οικονομικής ενίσχυσης ανασφάλιστων τετραπληγικών – 

παραπληγικών και ακρωτηριασμένων 

8.3. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τετραπληγικών – παραπληγικών 

ασφαλισμένων του Δημοσίου 

8.4. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τυφλότητας 

8.5. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε σπαστικά άτομα 

8.6. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε άτομα με βαριά αναπηρία 

8.7. Βεβαίωση χορήγησης οικονομικής ενίσχυσης Βαριά Νοητικά Καθυστερημένων 

8.8. Βεβαίωση χορήγησης οικονομικής ενίσχυσης κωφαλαλίας 

9. Έκδοση πιστοποιητικών ψηφιακών υπογραφών σε συνεργασία με το ΣΥΖΕΥΞΙΣ. 

Επίσης, βρίσκονται σε φάση παραγωγικής ένταξης διασυνδέσεις και με φορείς όπως το Ειδικό Ληξιαρχείο, 

τα Δημοτολόγια και οι Εισαγγελίες. 

5.5.4.2 Βαθμός διασύνδεσης 

Η επικοινωνία με τα αντίστοιχα συστήματα των φορέων αυτών υποστηρίζεται από τη χρήση διαφόρων 

τεχνολογιών όπως η σύνδεση μέσω SSL από το ΚΕΠ μέχρι το ΟΠΣ, επικοινωνία μέσω VPN μεταξύ 

του ΟΠΣ και του διασυνδεδεμένου συστήματος, χρήση συμφωνημένου XML schema μέσω των 

web services κτλ. Για την παραπάνω επικοινωνία, υλοποιούνται δύο διακριτοί τύποι διασύνδεσης: 

• On-line παραγωγή πιστοποιητικών. Το ΟΠΣ καλεί το αντίστοιχο web service του εξωτερικού συστηματος 

και αποστέλλει ένα XML request. Με τη λήψη, το εξωτερικό σύστημα παράγει επί τοπου 

το αιτούμενο πιστοποιητικό και το αποστέλλει μέσω της XML reply. Το ΟΠΣ των ΚΕΠ το 

παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση, την οποία και προωθεί 

στο επόμενο στάδιο της ροής εργασίας. Το πιστοποιητικό εμφανίζεται στην οθόνη του εργαζόμενου 

στο ΚΕΠ, εκτυπώνεται, σφραγίζεται και παραδίδεται στον πολίτη. Κατά τη διάρκεια της 

έκδοσης, τα δύο συστήματα βρίσκονται σε σταθερή επικοινωνία, δεσμεύοντας πόρους των αντίστοιχους 

application servers ενώ το τελικό πιστοποιητικό ΔΕΝ αποθηκεύεται στο σύστημα των 

ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με το ΝΑΤ και τον ΕΛΓΑ. 

• Off-line παραγωγή πιστοποιητικών. Το εξωτερικό σύστημα δέχεται το αίτημα σε προγραμματισμένο 

χρόνο. Σε επόμενο χρόνο παράγει το αιτούμενο πιστοποιητικό και το αποστέλλει. Το 

σύστημα των ΚΕΠ το παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση, 

την οποία και προωθεί στο επόμενο στάδιο της ροής εργασίας. Ο χρήστης που χειρίζεται την υ- 

πόθεση ειδοποιείται ότι υπάρχει νέο εισερχόμενο έγγραφο στο φάκελο, οπότε και εμφανίζει το 

αποθηκευμένο πιστοποιητικό στην οθόνη του, το εκτυπώνει, το σφραγίζει και ειδοποιεί τον πολίτη. 

Κατά τη διάρκεια της έκδοσης, τα δύο συστήματα δεν βρίσκονται σε σταθερή επικοινωνία, 

δεν δεσμεύουν πόρους της αντίστοιχους application servers και το τελικό πιστοποιητικό απόθηκεύεται 

στο σύστημα των ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με όλα τα 

υπόλοιπα συστήματα της δημόσιας διοίκησης. 

Παραδείγματα άλλων διασυνδέσεων που θα μπορούσαν να υλοποιηθούν (με βάση τη μελέτη του 

Αναδόχου) είναι: 



212



10. ΓΓΠΣ, ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ (TAXISnet) 

10.1. Φορολογική Ενημερότητα 

10.2. Εκκαθαριστικό φόρου εισοδήματος η ΚΒΣ ή Ε9 

10.3. Τελωνειακές Διαδικασίες «ISIS net» 

10.4. Πιστοποιητικά Συνταξιούχων Δημοσίου, κλπ 

11. ΥΠΟΥΡΓΕΙΟ ΑΓΡΟΤΙΚΗΣ ΑΝΑΠΤΥΞΗΣ 

11.1. ΟΠΕΚΕΠΕ 

11.2. Επιδοτήσεις 

11.3. ΟΓΑ (Συντάξεις – Παροχές), κλπ 

12. ΥΠΟΥΡΓΕΙΟ ΜΕΤΑΦΟΡΩΝ 

12.1. Μεταβιβάσεις ΙΧ 

13. ΥΠΟΥΡΓΕΙΟ ΑΠΑΣΧΟΛΗΣΗΣ και ΚΟΙΝΩΝΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ 

5.5.4.3 Διασυνδέσεις με άλλα συστήματα 

Για την υλοποίηση ηλεκτρονικών πληρωμών έχει προβλεφθεί διασύνδεση μέσω της Τράπεζας Πειραιώς. 

Με τη χρήση web services θα υλοποιηθεί ένα ενιαίο Interface που θα επιτρέπει ηλεκτρονικές 

πληρωμές από κάθε μέσο επικοινωνίας. Το Interface θα διαφέρει ανάλογα με το ποιος το χρησιμοποιεί 

αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το portal όσο και για της εργαζομένους στα 

ΚΕΠ και το call center. 

Όπως αναφέρθηκε, προϋπόθεση για την ηλεκτρονική διεκπεραίωση όλων των αιτήσεων είναι η υποστήριξη 

ψηφιακών πιστοποιητικών για της πολίτες. Για αυτό το έχει προβλεφθεί στο ΟΠΣ η λειτουργία 

LDAP servers, στους οποίους θα βρίσκονται αποθηκευμένα τα ψηφιακά πιστοποιητικά. Οι 

LDAP servers διασυνδέονται με τους LDAP servers του ΣΥΖΕΥΞΙΣ, έτσι ώστε να γίνονται δεκτά και 

πιστοποιητικά που προέρχονται από το ΣΥΖΕΥΞΙΣ. Επίσης, προβλέπεται διασύνδεση με τους αντίστοιχους 

LDAP servers της Εθνικής Δικτυακής Πύλης ΕΡΜΗΣ στο πλαίσιο της γενικότερης διαλειτουργικότητας 

μεταξύ των δύο συστημάτων, όταν το δεύτερο θα βρίσκεται σε λειτουργία. 

5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου 

Για την ασφάλεια του ΟΠΣ έχει διενεργηθεί μελέτη Ασφάλειας και βρίσκεται σε εφαρμογή Πολιτική 

Ασφάλειας του ΟΠΣ. Τα βασικά μέτρα ασφάλειας που προβλέπονται είναι γενικά τα εξής: 

• Για την διασφάλιση του απορρήτου και της ακεραιότητας της επικοινωνίας μέσω διαδικτύου, χρησιμοποιείται 

το πρωτόκολλο HTTPS, και ποιο συγκεκριμένα γίνεται εφαρμογή SSL έκδοσης 3, 

με κλειδί κρυπτογράφησης 128 bit. 

• Για τη διασφάλιση της διαθεσιμότητας των συστημάτων έχει προβλεφθεί η χρήση (τουλάχιστον) 

διπλών συστημάτων για ορισμένες κατηγορίες εξυπηρετητών. Πρακτικά δεν γίνεται διαχωρισμός 

υπηρεσιών ανάλογα με την κρισιμότητά τους αλλά αυτές προσφέρονται από όλα τα ομοειδή 

συστήματα. Δηλαδή σε περίπτωση που εμφανιστεί πρόβλημα το οποίο επηρεάζει τη λειτουργία 

του συστήματος, τότε θα τεθούν οι υπηρεσίες εκτός λειτουργίας. 

• Για την αυθεντικοποίηση των εξυπηρετητών (server authentication) χρησιμοποιούνται ψηφιακά 

πιστοποιητικά (τύπου X.509) με μήκος κλειδιού 1024 bit. 



213



• Για την αυθεντικοποίηση των χρηστών (client authentication) χρησιμοποιούνται κωδικοί πρόσβασης 

χρηστών (username/password). Με την χρήση των LDAP servers, τόσο του ΟΠΣ όσο και άλλων 

συστημάτων, επιτρέπεται η αναβάθμιση της αυθεντικοποίησης των χρηστών μέσω ψηφιακών 

πιστοποιητικών. 

• Για την ανίχνευση των προβλημάτων ασφάλειας γίνεται καταγραφή όλων των ενεργειών σε επίπεδο 

εφαρμογής (logging and auditing), έτσι ώστε να είναι δυνατός ο καταλογισμός ενεργειών 

και η συσχέτιση με της χρήστες των εφαρμογών. Η πρόσβαση στα αρχεία καταγραφής (logs) γίνεται 

από εξουσιοδοτημένα άτομα, με δυνατότητα αναζητήσεων (filtering). 

Η προστασία της βάσης δεδομένων είναι ιδιαίτερα σημαντική, εφόσον φιλοξενεί το κεντρικό αποθετηριο 

δεδομένων του συστήματος. Τα κυριότερα μέτρα για την ασφάλεια της βάσης δεδομένων είναι: 

• Δυνατότητα ενεργοποίησης καταγραφής (logging) σε επίπεδο βάσης δεδομένων. Τα αρχεία καταγραφής 

(logs) μπορούν να διατηρούνται σε αρχείο του λειτουργικού συστήματος, αντί του προκαθορισμένου 

αρχείου (δηλαδή του system tablespace της βάσης δεδομένων), επιτρέποντας έτσι 

την πρόσβαση μόνο σε εξουσιοδοτημένα πρόσωπα. Με βάση τα στοιχεία που συλλέχθησαν, 

λόγω αδυναμίας του αναδόχου στην επεξεργασία των αρχείων καταγραφής, δεν γίνεται πλήρης 

αξιοποίηση για ελέγχους ασφάλειας. 

• H online σύνδεση των εφαρμογών με τη βάση δεδομένων πραγματοποιείται αδιαφανώς για της 

χρήστες μέσω του συστήματος single sign on. 

• Εφαρμογές άλλων φορέων δεν συνδέονται απευθείας στη βάση αλλά στη καλύτερη περίπτωση 

στον application server. 

• Κρυπτογράφηση ευαίσθητων δεδομένων. Υπάρχει δυνατότητα για επιλεκτική κρυπτογράφηση 

ευαίσθητων δεδομένων όταν αυτά αποθηκεύονται στη βάση, με τη χρήση αλγορίθμου 3-DES (με 

μήκος κλειδιού 168-bit), η οποία της δεν έχει ενεργοποιηθεί. 

• Προστασία από επιθέσεις SQL Injection. Για την αποφυγή των παραπάνω κινδύνων χρησιμοποιούνται 

οι γνωστές τεχνικές (ενδεικτικά αναφέρονται filter-out single quote, double quote, slash, 

back slash, semi colon, extended character της NULL, carry return, new line, για αριθμητικές τιμές 

μετατροπή σε integer ή χρήση του ISNUMERIC, κλπ). 

Άλλα μέτρα ασφάλειας τα οποία εφαρμόζονται είναι: 

• Προστασία από επιθέσεις code injection και cross-site scripting. Στην περίπτωση που ένα μέρος 

της πύλης, επιτρέπει σε μη εξουσιοδοτημένους χρήστες να στέλνουν στοιχεία τα οποία στη συνέχεια 

εμφανίζονται αυτόματα σε μια σελίδα (π.χ. σε ένα forum) τότε το σύστημα μπορεί να είναι 

ευάλωτο σε επιθέσεις code injection ή cross-site scripting. Για την αποφυγή των παραπάνω κινδύνων, 

γίνεται έλεγχος σe κρίσιμα πεδία της τα query strings, URLs, posted data, cookies). 

• Περιορίζεται το μήκος και το περιεχόμενο των posted data, πραγματοποιείται έλεγχος του HTTP 

Referrer, χρησιμοποιείται η μέθοδος HTTP POST αντί HTTP GET κλπ. 

Αν και στην αρχική μελέτη υπήρχε πρόβλεψη για την απόκρυψη εμφάνισης των κανονικών μηνυμάτων 

σφαλμάτων (default error message ) για συστήματα που είναι προσπελάσιμα από διαδικτυακό 

περιβάλλον (web servers, database servers), μέχρι στιγμής δεν έχει υλοποιηθεί πλήρως. 

Όσον αφορά την διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή 

μετά φυσικές καταστροφές, έχει συνταχθεί και βρίσκεται σε ισχύ Σχέδιο Αποκατάστασης Κατάστροφών 

(DRP). Της, αν και το Σχέδιο Αποκατάστασης προβλέπει δοκιμές σωστής λειτουργίας, δεν έ- 



214



χουν πραγματοποιηθεί μέχρι στιγμής δοκιμές και συνεπώς δεν έχουν ληφθεί τα απαραίτητα διορθωτικά 

μέτρα, ούτε το Σχέδιο έχει επικαιροποιηθεί κατάλληλα. 

Όπως έχει ήδη αναφερθεί, με βάση το Σχέδιο Αποκατάστασης Καταστροφών έχει συσταθεί εναλλακτικό 

κέντρο λειτουργίας (Disaster Recovery site – failover site), το οποίο βρίσκεται στο Κορωπί Αττικής. 

Το κέντρο εναλλακτικής λειτουργίας είναι τύπου hot site. Θεωρητικά έχει αντίστοιχες δυνατοτητες 

με την κανονική εγκατάσταση, αν και η διαστασιοποίηση του συστήματος είναι μικρότερη. Για 

τα δεδομένα του ΟΠΣ υπάρχει συγχρονισμός σε πραγματικό χρόνο της βάσης δεδομένων του εναλλακτικού 

κέντρου με τη βάση δεδομένων του ΟΠΣ. 

Η σύνδεση του ΟΠΣ με το ΣΥΖΕΥΞΙΣ πραγματοποιείται με απλή γραμμή των 8Mbit, αντί για πραγματικά 

διπλή γραμμή που προβλέπεται. Σε περίπτωση που δημιουργηθεί πρόβλημα στο δίκτυο του 

ΣΥΖΕΥΞΙΣ, τότε αυτό θα επηρεάσει τα διασυνδεδεμένα ΚΕΠ στη συγκεκριμένη γεωγραφική περιοχή 

όπου παρουσιάστηκε το πρόβλημα στο δίκτυο ΣΥΖΕΥΞΙΣ. 

Τέλος, επειδή η διασύνδεση με τα περισσότερα διασυνδεδεμένα συστήματα είναι βαθμού off-line, οι 

περισσότερες υπηρεσίες μπορούν να πραγματοποιηθούν σε περίπτωση ανάγκης και χωρίς τη χρήση 

του ΟΠΣ, με της αντίστοιχες φυσικά επιπτώσεις της χρόνους περαίωσης των εργασιών. 


Η πληροφοριακή υποδομή του ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών υποστηρίζει πολλές από 

τις υπηρεσίες οι οποίες περιλαμβάνονται στις της 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης. Ενδεικτικά, 

αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται από το ΟΠΣ των ΚΕΠ και 

οι οποίες περιλαμβάνονται της βασικές υπηρεσίες της Δημόσιας Διοίκησης: 

Υπηρεσίες της Πολίτες 

• Αιτήσεις και παραλαβή διαφόρων πιστοποιητικών (γέννησης, γάμου κτλ) 

• Φόρος εισοδήματος (βεβαιώσεις φορολογικής ενημερότητας κτλ), 

• Εισφορές κοινωνικής ασφάλισης (βεβαιώσεις ενημερότητας κτλ) 

Υπηρεσίες της Επιχειρήσεις 

• Εισφορές κοινωνικής ασφάλισης για εργαζόμενους (αιτήσεις και παραλαβή) 

• Φόρος επιχειρήσεων (δήλωση και ειδοποίηση εκκαθάρισης) 

• ΦΠΑ (δήλωση και ειδοποίηση εκκαθάρισης) 

Επιπλέον, για την παροχή των υπηρεσιών το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών χρησιμοποιεί 

διάφορα δίκτυα της το δίκτυο ΑΡΙΑΔΝΗ ΙΙ, διασυνδέσεις VPN αλλά και διασυνδέεται με της υποδομές 

της είναι το ΣΥΖΕΥΞΙΣ και το δίκτυο ΕΡΜΗΣ. Συνεπώς, το ΟΠΣ μπορεί να χαρακτηριστεί ως 

υποδομή της Δημόσιας Διοίκησης. 


Για την αξιολόγηση του βαθμού κρισιμότητας του ΟΠΣ των ΚΕΠ, εφαρμόζονται τα κριτήρια κρισιμότητας 

τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα: 

• Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή 

ή μείωση της ποιότητας μιας υπηρεσίας. 



215





• Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης. 

• Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική 

ή λογική εξάρτηση). 

• Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν 

αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την 


• Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη 

του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο. 

• Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσιας 

διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής. 



ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας 

έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης. 

• Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη 

του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών 

και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές. 

Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 31. 

Κριτήρια 


επηρεαζόμεν 

ων χρηστών 



( € ) 






Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής 


>100,000 

10,000- 

100,00 

1,000-10,000 100-1,000 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ 



πίδραση σε υ- 

ποδομές/τομείς 



μακρύς 


(μήνες – χρόνια) 

Εθνική 

Σημαντική 

επίδραση σε 

υποδομές/- 

τομείς 


υψηλός 

απαιτουμενος 

χρόνος 


(βδομάδες – 

μήνες) 

Περιφερειακ 

ή 


σε υ- 




χρόνος 


(μέρες – 


Τοπική 

(πολλοί 

φορείς) 


σε υποδομές/τομείς 

Χαμηλό κό, 

μικρός απαιτούμενος 

χρόνος 


(ώρες – 

μέρες) 

Τοπική 

(λίγοι φορείς) 

Επίδραση σε 

μία υποδομή/- 

τομέα 


μικρός 



(ώρες) 



216



Αντίδραση 


γνώμης 




ΔΔ 





/εμπιστευτικ 

ών 




κοινού για 

της 

ΤΠΕ/ΠΕΥ 





της ανάπτυξης/εφαρμογής 





ζωών 








σύνολο 




σε διεθνές 




και συναλλακτικής 

δυνατητας 


Απώλεια 

ανθρώπινης 

ζωής 





πολλών 



επηρεασμός 






σε εθνικό 




ανάπτυξης/εφ 

αρμογής κυβερνητικών 


Σημαντικός 

τραυματισμό 

ς πολλών 





ενόχληση της 


Κλονισμός 

εμπιστοσύνη 

ς του κοινωνικού 






φορέων 


σωστής διαχείρισης 

ή λειτουργίας 

ΔΥ 

Μικροτραυματ 

ισμοί πολλών 



πολλών 



επιμέρους 

ομάδων του 


Αρνητική δημοσιότητα 

ε- 

νός κυβερνητικού 


Ανεπαρκής 


μιας ΔΥ 

Μικροτραυματισμός 

της 


Μικρή ενό - 

χληση ενός 



μεμονωμένων 

πολιτών 

Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών 

Εφαρμόζοντας τα παραπάνω κριτήρια στο ΟΠΣ των ΚΕΠ προκύπτουν τα ακόλουθα στοιχεία: 

11. Αριθμός επηρεαζόμενων χρηστών. Με βάση τα ετήσια στατιστικά στοιχεία της χρήσης του συστηματος 

του έτους 2007, καθώς και τα μέχρι στιγμής στοιχεία από τη χρήση εντός του 2008, 

προκύπτει ότι ο μηνιαίος μέσος όρος χρηστών των υπηρεσιών του ΟΠΣ ανέρχεται σε 180.000 

χρήστες περίπου, ενώ σε ετήσια βάση ο αριθμός ανέρχεται σε 2.160.000 χρήστες περίπου. 

Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση τον αριθμό των χρηστών είναι Πολύ Υψηλή. 

12. Οικονομική Επίπτωση. Το ΟΠΣ περιλαμβάνει σε πιλοτική εφαρμογή υπηρεσία πληρωμών μεσω 

αυτόματων μηχανών. Επειδή η υπηρεσία βρίσκεται στην παρούσα φάση σε πιλοτική μορφή, 

εκτιμάται ότι η κρισιμότητα του ΟΠΣ ως της την άμεση οικονομική επίπτωση είναι Χαμηλή 

(από 100.000 μέχρι 1.000.000 €). 

13. Γεωγραφική Εμβέλεια. Το ΟΠΣ παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητα 

του ΟΠΣ με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή. 

14. Αλληλεξάρτηση. Το ΟΠΣ των ΚΕΠ εξαρτάται λογικά από διάφορα άλλα ΟΠΣ δημοσίων 

φορέων με τα οποία διασυνδέεται, αλλά και από δίκτυα της το ΣΥΖΕΥΞΙΣ, το ΑΡΙΑΔΝΗ ΙΙ 

και ο ΕΡΜΗΣ. Η παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, εκτιμάται ότι θα 

είχε μέτρια επίδραση σε της υποδομές (π.χ επίπτωση στην αξιοπιστία των διασυνδεδεμένων 



217



LDAP servers του ΣΥΖΕΥΞΙΣ, ΕΡΜΗΣ κτλ). Συνεπώς η κρισιμότητα του ΟΠΣ με βάση το 

βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως Μέτρια. 

15. Ανάκαμψη. Εφόσον το ΟΠΣ λειτουργεί ως ένα συμπληρωματικό μέσο για την παροχή υπηρεσιών 

από της δημόσιους φορείς και εφόσον υπάρχουν εναλλακτικοί δίαυλοι για την παροχή 

των υπηρεσιών (π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα), εκτιμάται ότι θα υπάρχουν 

σημαντικές επιπτώσεις μετά από παρατεταμένη μη διαθεσιμότητα. Συνεπώς, η κρισιμότητα 

του ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσιών του χαρακτηρίζεται ως Χαμηλή. 

16. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος του ΟΠΣ και τον αριθμό των χρηστών, 

εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ θα επηρέαζε την 

κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το 

βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως Μέτρια. 

17. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Η επίδραση στη λειτουργία κυβερνητικών 


κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, δεν εκτιμάται ως ιδιαίτερα σημαντική. Συνεπώς, 

η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Χαμηλή. 

18. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών 

και συνεπώς η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ 

Χαμηλή. 


των διακινούμενων ή διατηρούμενων δεδομένων του ΟΠΣ, και με δεδομένο το 

μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής 

νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Μάλιστα, εφόσον οι περισσότερες 

διασυνδέσεις με άλλα συστήματα είναι τύπου off-line, τα πιστοποιητικά αποθηκεύονται στο α- 

ποθετήριο του συστήματος, αυξάνοντας με αυτό τον τρόπο της πιθανές επιπτώσεις. Συνεπώς, η 

κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή. 

20. Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ των ΚΕΠ απότελεί 

βασικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και επικοινωνιών 

της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω της 

χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό 

επηρεασμό του κοινωνικού συνόλου. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το κριτήριο 

αυτό χαρακτηρίζεται ως Υψηλή. 


Το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών αποτελεί ένα σύστημα το οποίο παρέχει ένα σημαντικό 

αριθμό υπηρεσιών της της πολίτες και της επιχειρήσεις. Υποστηρίζει την περαίωση της μεγάλου 

πλήθους υπηρεσιών (πλέον των 1000) από μέσα από διάφορα κανάλια επικοινωνίας, της είναι 

η δικτυακή πύλη, η τηλεφωνική πύλη (call center) αλλά και η φυσική παρουσία των πολιτών στα 

ίδια τα ΚΕΠ. Το ΟΠΣ υποστηρίζει αρκετές υπηρεσίες της δημόσιας διοίκησης και αποτελεί υποδομή 

της μελέτη. 

Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, γενικά βρίσκονται σε χαμηλό 

επίπεδο εξέλιξης, Οι περισσότερες υπηρεσίες βρίσκονται στο στάδιο 2 (αλληλεπίδραση), λιγότερες 

βρίσκονται στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ ακόμα ελάχιστες βρίσκονται στο στάδιο 

4 (συναλλαγής) σε πιλοτική λειτουργία και μόνο με φυσική παρουσία στα ΚΕΠ. Η φυσική παρουσία 

στα ΚΕΠ απαιτείται και για της περισσότερες από της προσφερόμενες υπηρεσίες. Παρόλα αυτά, 



218



το ΟΠΣ διασυνδέεται σε μικρότερο ή μεγαλύτερο βαθμό με μεγάλο αριθμό άλλων ΟΠΣ δημόσιων 

φορέων, ενώ υποστηρίζεται και από της υποδομές της αυτή του ΣΥΖΕΥΞΙΣ. 

Στην παρούσα φάση, το ΟΠΣ αξιολογείται ως υποδομή με Υψηλή κρισιμότητα, κυρίως λόγω του 

μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής του γεωγραφικής έκτασης, αλλά και 

του γεγονότος ότι επεξεργάζεται εμπιστευτικά/προσωπικά δεδομένα μεγάλου αριθμού χρηστών α- 

πό της διαφορετικές πηγές. 

Όσον αφορά την κρισιμότητα της μη διαθεσιμότητας των υπηρεσιών που υποστηρίζει δεν αξιολογείται 

ως ιδιαίτερα σημαντική, κυρίως διότι το ΟΠΣ λειτουργεί ως υποστηρικτικό κανάλι επικοινωνίας 

και συνεπώς, η μη διαθεσιμότητά του θα προκαλέσει καθυστέρηση και δυσκολίες στην παροχή 

υπηρεσιών αλλά όχι πλήρη διακοπή. Είναι προφανές ότι όσο αυξάνει το επίπεδο εξέλιξης των 

προσφερόμενων υπηρεσιών του ΟΠΣ, αλλά και ο βαθμός και ο τύπος διασύνδεσης με άλλα συστηματα, 

τόσο θα αυξάνει και η κρισιμότητα του ίδιου του συστήματος. 



219



6 

Προτεινόμενο Οργανωτικό Σχήμα 

και Σχέδιο Δράσης 



220



6. Προτεινόμενο Οργανωτικό Σχήμα 

6.1 Περιγραφή 

Στόχος του παρόντος κεφαλαίου είναι να προδιαγράψει ένα αποτελεσματικό οργανωτικό σχήμα, 

τόσο σε στρατηγικό, όσο και σε επιτελικό επίπεδο, το οποίο θα αποσκοπεί στην προστασία των 

κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης. 

Τα βασικά χαρακτηριστικά στα οποία στοχεύει το προτεινόμενο οργανωτικό σχήμα είναι τα ακόλουθα: 

• Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες. 

• Αυτονομία, έτσι ώστε να μπορεί να εκτελεί γρήγορα και αποτελεσματικά το έργο του. 

• Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ. 

• Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο α- 

νοικτός, διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, 

εν τέλει, η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων 

φορέων και υπηρεσιών. 

Υιοθετήθηκε η προσέγγιση “Critical Information and Communication Infrastructure Protection” 

(CICIP), γιατί η εστίαση της Ο.Ε. ήταν σε ΠΕΥ της ΔΔ και όχι σε θέματα που αφορούν εθνική ά- 

μυνα ή πολιτική προστασία. Εκτιμήθηκε ότι το προτεινόμενο σχήμα δεν θα ήταν σκόπιμο να υπαχθεί 

σε υπάρχουσες δομές και υπηρεσίες με αρμοδιότητα επί θεμάτων εθνικής ασφάλειας και προστασίας 

διαβαθμισμένης πληροφορίας. Εκτιμήθηκε, επίσης, ότι το σχήμα δεν θα ήταν ευέλικτο αν 

υπαγόταν σε υπηρεσίες γενικότερης προστασίας των υποδομών από φυσικές ή άλλες καταστροφές 

(σύμφωνα με την προσέγγιση all hazards). 

Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές 

άλλων ευρωπαϊκών χωρών (βλ. Ενότητα 3.4) και επικεντρώνεται κυρίως σε θέματα soft criticality 

των ΠΕΥ και ειδικότερα όσων αφορούν και σχετίζονται με τη ΔΔ. 

Το πρώτο βήμα για το σχεδιασμό μίας αποδοτικής και αποτελεσματικής οργανωσιακής μονάδας 

(organizational unit) CICIP είναι η οργάνωσή του ως ενός μοντέλου “Τεσσάρων Πυλώνων CICIP”: 

(α) Πρόληψη και Προειδοποίηση (Prevention and Early Warning), (β) Ανίχνευση (Detection), (γ) 

Αντίδραση (Reaction), (δ) Διαχείριση Κρίσεων (Crisis Management) [Sut-07]. Πιο συγκεκριμένα, 

μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CICIP (CICIP organisational 

unit) περιλαμβάνει, ιδανικά, τους εξής εταίρους [Sut-07]: 

• Μια Κυβερνητική Υπηρεσία (Governmental Agency): Παρέχει στρατηγικές κατευθύνσεις, ηγείται 

της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει. 

• Ένα Κέντρο Ανάλυσης (Analysis Center): Διαθέτει διασυνδέσεις με την κοινότητα που σχετίζεται 

με την ανάλυση πληροφοριών (intelligence community). 

• Ένα Κέντρο Αριστείας (Technical Center of Expertise): Συχνά αποτελείται από μέλη του προσωπικού 

ενός εθνικού CSIRT. 

6.1.1 Μορφές οργάνωσης 

Για τις σχεδιαστικές επιλογές του CICIP οργανωτικού σχήματος ελήφθησαν υπόψη οι εξής πηγές: 

• Προσεγγίσεις άλλων χωρών στο θέμα αυτό (βλ. Κεφάλαιο 2) 



221



• Προτάσεις του [Sut-07] (βλ. Κεφάλαιο 3.5.1) 

• Βέλτιστες Πρακτικές σε Οργάνωτικές δομές CSIRT από τον οργανισμό [ENISA-07]. 

• Απόψεις και ιδέες των συμμετεχόντων στη διαβούλευση (βλ. Κεφάλαιο 7). 

Καθώς το σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες με πολλαπλούς 

φορείς της Δημόσιας Διοίκησης (και όχι μόνο), εξετάστηκαν οι παρακάτω εναλλακτικές 

δομικές μορφές του: 

α) Σχήμα χωρίς αυστηρή ιεραρχική δομή, που προσομοιάζει με το ανεξάρτητο επιχειρηματικό μοντέλο 

(independent business model) για την οργάνωση ενός CSIRT (Computer Security Incident 

Response Team). Το σχήμα αυτό θα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό, 

με δικό του προσωπικό και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαιου). 

Ο οργανισμός δεν είναι αναγκαίο να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να 

επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών στο ρόλο τους. Αντίθετα, 

πρέπει να διαθέτει διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα 

της αρμοδιότητάς τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτόνομο χαρακτήρα 

του σχήματος. 

β) Δημιουργία νέας Γενικής Γραμματείας, με δυνατότητα άμεσης υπαγωγής στο Γραφείο του 

Πρωθυπουργού. Η πρακτική αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει 

και λειτουργεί με επιτυχία η Νέα Ζηλανδία (βλ. Κεφάλαιο 2). Η πρόταση αυτή επικεντρώνεται 

κυρίως στον επιτελικό χαρακτήρα του σχήματος. 

γ) Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης 

(Σώμα Επιθεωρητών Δημόσιας Διοίκησης), η οποία θα αναφέρει τα αποτελέσματα των εργασιών 

της στο Υπουργικό Συμβούλιο. Αντίστοιχης εμβέλειας σενάριο είναι, αντί της ενσωμάτωσης 

στη Γενική Γραμματεία Επιθεωρητών, η δημιουργία ενός Σώματος για την προστασία 

κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετείται από 

την Αυστραλία, όπου έχει δημιουργηθεί η οργανωτική δομή με την ονομασία TISN (βλ. Κεφάλαιο 

2). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό χαρακτήρα του σχήματος. 

δ) Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κάποια 

υφιστάμενη Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη της οργανωτικής 

δομής στο: 

• Υπουργείο Εσωτερικών (Γ. Γ. Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης). 

• Υπουργείο Μεταφορών και Επικοινωνιών. 

• Υπουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων). 

Η πρακτική αυτή είναι η πιο συνηθισμένη διεθνώς. Παράδειγμα χώρας που ακολουθεί αυτή την 

προσέγγιση είναι η Γερμανία, όπου στο αντίστοιχο Υπουργείο Εσωτερικών της (BMI) υπάρχουν 

σχετικές δομές συνεργασίας, ενώ έχει ιδρυθεί και το BSI (βλ. Κεφάλαιο 2). Η πρόταση αυτή επικεντρώνεται 

κυρίως στον εκτελεστικό/διαχειριστικό χαρακτήρα του σχήματος. 

Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού 

σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό, 

παρόλο που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών 60 , τελικά εκτιμήθηκε 

60 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρεσία 

της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, εν- 



222



ότι δεν ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές. Έτσι, στο παραδοτέο 

γίνεται χρήση της συμβολικής ονομασίας “Φ”. 

6.1.2 Οργανωτικό Σχήμα 

Ο ENISA προτείνει κατ’ ελάχιστον τους εξής ρόλους κατά την οργάνωση ενός CSIRT [ENISA- 

07]: Γενική Διεύθυνση, Λειτουργικές Τεχνικές Ομάδες (Διευθυντής, Τεχνικό και Ερευνητικό Προσωπικό), 

Εξωτερικούς Συμβούλους (προσλαμβάνονται όταν παραστεί ανάγκη), Γραμματεία, Λογιστηήριο, 

Σύμβουλο Επικοινωνιών και Δημοσίων Σχέσεων και Νομικό Σύμβουλο. 

Αντιλαμβάνεται κανείς ότι το οργανωτικό σχήμα CICIP θα πρέπει να είναι ευρύτερο από ένα CSI- 

RT [Sut-07]. Συγκεντρώνει, βεβαίως, την τεχνογνωσία που απαιτείται από ένα CSIRT, αλλά με έμφαση 

στην ευρύτερη έννοια της προστασίας κρίσιμών υποδομών. Επιπλέον, απαιτείται η στενή 

συνέργεια με φορείς της Δημόσιας Διοίκησης, ενώ το σχήμα αναλαμβάνει και επιπλέον ελεγκτικόεποπτικό 

ρόλο, που διαφοροποιείται από το συμβουλευτικό ρόλο που έχει συνήθως ένα CSIRT. 

Έχοντας υπόψη τις παραπάνω εμπειρίες, τις ελληνικές ιδιαιτερότητες, τη μορφολογία της ΔΔ, καθώς 

και τους σχετικούς λειτουργικούς και οικονομικούς περιορισμούς, προτείνεται το σχήμα που 

απεικονίζεται στο Σχήμα 37. 

Με βάση την πρόταση, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανήκει στη Συντονιστική Ε- 

πιτροπή, η οποία ηγείται του όλου σχήματος. Ελεγκτικό-Εποπτικό ρόλο αναλαμβάνει η ομάδα Εποπτείας, 

ενώ την τεχνογνωσία την παρέχει η ομάδα Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται 

σε στενή συνεργασία με ερευνητικούς φορείς, ενδεχομένως και με συγκεκριμένο Ερευνητικό Ινστιτούτο 

που θα ιδρυθεί για αυτό το σκοπό. Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομάδες 

Συλλογής Πληροφοριών, Ενημέρωσης και Αντιμετώπισης Περιστατικών. Κέντρο Ανάλυσης δεν 

προβλέπεται στην πρόταση, με την έννοια που διατυπώθηκε παραπάνω [Sut-07], αλλά μόνο ως δίαυλος 

επικοινωνίας (liaison) με φορείς εφαρμογής του νόμου (law enforcement agencies). 

Το σχήμα υποστηρίζεται από το Γραφείο Δημοσίων Σχέσεων για την προβολή του έργου του και 

την επικοινωνία με τους συνεργαζόμενους φορείς. Σε περιπτώσεις κρίσεων, συγκροτείται Ομάδα 

Αντιμετώπισης Κρίσεων, η οποία έχει ιδιαίτερες αρμοδιότητες και ρόλο κατά την εκδήλωση περιστατικών 

που υποδηλώνουν ενδεχόμενη κρίση. Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά 

μια Αγορά απόψεων και προτάσεων (Αgora), στην οποία συμμετέχουν εκπρόσωποι φορέων και ενδιαφερόμενων 

ή/και εμπλεκόμενων ομάδων (πχ. Μη Κυβερνητικών Οργανώσεων), που εκφράζουν 

απόψεις των οργάνων τους. 

δεικτικά, οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα 

ανήκουν, επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών. 



223



Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα 

Οι διασυνδέσεις με άλλους φορείς απεικονίζονται στο Σχήμα 37 και αναλύονται, ανά ομάδα, στη 

συνέχεια. Σε αυτές τις διασυνδέσεις-επικοινωνίες η συμβολή του Γραφείου Δημοσίων Σχέσεων εκτιμάται 

ότι θα έχει αποφασιστικό χαρακτήρα. 



224



Σχήμα 38: Διασύνδεση με άλλους φορείς 61 

Το όνομα του νέου φορέα θα μπορούσε να αλιεύσει όρους από την εξής λίστα επιλογών (με βάση 

και την τελική του ένταξη - ή όχι - σε συγκεκριμένη λειτουργούσα δημόσια υπηρεσία): 

• Κέντρο ή Ινστιτούτο ή Οργανισμός (για να αναδείξει τη δομή του) 

• Εθνικό (για να αναδείξει την εμβέλειά του) 

• Εποπτικό ή Ελεγκτικό ή Συντονιστικό (για να αναδείξει τη στόχευσή του) 

61 Οι τρεις ομάδες που σημειώνονται με μπλε χρώμα εκτιμάται ότι θάταν σκόπιμο να συμπτυχθούν σε μία, ειδικά 

κατά την πρώτη φάση λειτουργίας του σχήματος, κυρίως για λόγους ευελιξίας και αποτελεσματικότητας. 

Αν και όταν, κατά την πορεία λειτουργίας του σχήματος, απαιτηθούν περισσότερο σύνθετες και αυτόνομες 

λειτουργίες, τότε οι ομάδα αυτή μπορούν να κατανεμηθεί σε τρεις, όπως προβλέπει η πρόταση. 



225



• Προστασία ή Ασφάλεια (για να αναδείξει την κεντρική επιδίωξή του) 

• Πληροφοριακά και Επικοινωνιακά Συστήματα (για να αναδείξει το επιμέρους αντικείμενο 

της δράσης του) 

• Κρίσιμες Υποδομές της ΔΔ (για να αναδείξει το κεντρικό αντικείμενο της δράσης του) 

6.2 Επιμέρους ομάδες 

Στη συνέχεια ακολουθεί περιγραφή κάθε ομάδας-ρόλου του οργανωτικού σχήματος. Ειδικότερα, α- 

ναλύονται ο ρόλος κάθε ομάδας, οι αρμοδιότητες, ο μορφότυπος των προσώπων που τη στελεχώνουν, 

η ιεραρχική θέση καθενός στο οργανωτικό σχήμα, καθώς και οι διασυνδέσεις με άλλες ομάδες 

ή/και τρίτους. 

6.2.1 Συντονιστική Επιτροπή 

6.2.1.1 Στόχοι – ρόλος 

Στόχος της Συντονιστικής Επιτροπής είναι ο συνολικός συντονισμός του Οργανωτικού Σχήματος 

προστασίας κρίσιμων υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της Συντονιστικής επιτροπής 

είναι κυρίως επιτελικός και αφορά στη λήψη αποφάσεων στρατηγικού χαρακτήρα, σχετικά με την 

οργάνωση και το συντονισμό του σχήματος. 

6.2.1.2 Αρμοδιότητες 

Οι βασικές αρμοδιότητες της Συντονιστικής Επιτροπής είναι οι ακόλουθες: 

I. Καθορίζει το πλαίσιο και τη στρατηγική για την προστασία των κρίσιμων υποδομών της 

Δημόσιας Διοίκησης. Στο πλαίσιο αυτό εγκρίνει, μετά από εισήγηση, θέματα εκτελεστικού 

χαρακτήρα όπως: 

i) Εγκρίνει τα κριτήρια για τον καθορισμό των κρίσιμων πληροφοριακών και επικοινωνιακών 

υποδομών της Δημόσιας Διοίκησης. 

ii) Εγκρίνει, σε υψηλό επίπεδο, τα μέτρα προστασίας των κρίσιμων υποδομών τα οποία 

πρέπει να υλοποιηθούν. 

iii) Εγκρίνει την ταξινόμηση/καθορισμό προτεραιοτήτων των προς αντιμετώπιση πιθανών 

κινδύνων. 

II. Αναλαμβάνει την οργάνωση και το συντονισμό του συνολικού σχήματος. 

i) Συντονίζει τις δράσεις όλων των εμπλεκομένων φορέων. 

ii) Αποφασίζει για την ενεργοποίηση φορέων/ ομάδων σε ειδικές περιπτώσεις (όπως για 

παράδειγμα για την ενεργοποίηση της ομάδας Διαχείρισης Κρίσεων). 

III. Είναι υπεύθυνη για τον έλεγχο και την αναθεώρηση του στρατηγικού πλαισίου. 

i) Ελέγχει και αναθεωρεί εφόσον κρίνεται σκόπιμο τον στρατηγικό σχεδιασμό. 

6.2.1.3 Μορφότυπος μελών 

Η Συντονιστική Επιτροπή: 

I. Αποτελείται από υψηλόβαθμα στελέχη της ΔΔ με εκτενή και σημαντική εμπειρία σε σχετικά 

ζητήματα. 



226



II. Αποτελείται από μέλη που προέρχονται από ποικιλία οργανισμών και διαθέτουν ποικίλο ε- 

πιστημονικό υπόβαθρο (τεχνικό και διοικητικό). 

6.2.1.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες 

I. Αποτελεί την κορυφή της ιεραρχίας του οργανωτικού σχήματος. 

II. Λαμβάνει τεχνικές συμβουλές και αιτιολογημένες εισηγήσεις από την Ομάδα Συμβούλων - 

Εμπειρογνωμόνων. 

III. Λαμβάνει πληροφόρηση και εισηγήσεις από όλες τις Ομάδες (συλλογής πληροφοριών, ε- 

νημέρωσης και πρόληψης, αντιμετώπισης περιστατικών και διερεύνησης περιστατικών). 

IV. Δίνει εντολές και κατευθύνσεις σε όλες τις ομάδες. 

V. Δίνει εντολές για την ενεργοποίηση ομάδων όπως η ομάδα διαχείρισης κρίσεων και διερεύνησης 

περιστατικών. 

VI. Το έργο της υποστηρίζεται από νομικό σύμβουλο, γραμματεία και γραφείο δημοσίων σχέσεων. 

6.2.1.5 Διασυνδέσεις με τρίτους φορείς 

Η Συντονιστική Επιτροπή διατηρεί: 

I. Συνδέσμους με άλλα αντίστοιχα οργανωτικά σχήματα σε αντίστοιχο επίπεδο. 

II. Συνδέσμους με τον ιδιωτικό τομέα. 

6.2.2 Ομάδα Ελέγχου 


Ο βασικός ρόλος της Ομάδας Ελέγχου είναι να ελέγξει τη συμμόρφωση των οργανισμών και των 

πληροφοριακών συστημάτων με τους κανόνες που θέτει η Συντονιστική Επιτροπή. 


Οι βασικές αρμοδιότητες της Ομάδας Ελέγχου είναι οι ακόλουθες: 

I. Εξετάζει τη συμμόρφωση των οργανισμών που διαχειρίζονται κρίσιμες πληροφοριακές και 

επικοινωνιακές υποδομές, ως προς τη λήψη και εφαρμογή των μέτρων ασφάλειας που έ- 

χουν εγκριθεί από την Συντονιστική Επιτροπή. Η σύνταξη πολιτικής ασφάλειας και σχεδίου 

ανάκαμψης από καταστροφή (καθώς και τα αποτελέσματα των δοκιμών) κρίνεται ως υ- 

ποχρεωτική. 

II. Διεξάγει ελέγχους σε πληροφοριακά και επικοινωνιακά συστήματα κρίσιμων υποδομών. 

III. Λειτουργεί ως σημείο συλλογής και αποθήκευσης εγγράφων σχετικών με την ασφάλεια των 

ελεγχόμενων φορέων (security policy repository). 

i) Συγκεντρώνει έγγραφα ασφάλειας όπως πολιτικές ασφάλειας και σχέδια συνέχισης 

λειτουργίας, για όλους τους οργανισμούς ΔΔ οι οποίοι διαχειρίζονται κρίσιμα συστήματα 

και για τους οποίους δεν υπάρχει άλλος ελεγκτικός φορέας με αντίστοιχες αρμοδιότητες. 

ii) Διαθέτει πρόσβαση σε σημεία συλλογής σχετικών εγγράφων ασφάλειας (repositories) 

άλλων Δημόσιων Αρχών με σκοπό τη διευκόλυνση των ελέγχων συμμόρφωσης, σε πε- 



227



ρίπτωση που για ορισμένους ελεγχόμενους φορείς της Δημόσιας Διοίκησης υφίσταται 

άλλος φορέας με ελεγκτική αρμοδιότητα,. 

IV. Ελέγχει τα έγγραφα ασφάλειας και προτείνει τρόπους βελτίωσης της ασφάλειας των κρίσιμων 

πληροφοριακών και επικοινωνιακών υποδομών. 

ii) Ελέγχει την εφαρμογή της πολιτικής ασφάλειας, των σχεδίων συνέχισης λειτουργίας 

και μέτρων ασφάλειας και προτείνει βελτιώσεις. 

iii) Σε περίπτωση που κάποιος ελεγχόμενος οργανισμός της Δημόσιας Διοίκησης έχει μεταβιβάσει 

(για παράδειγμα μέσω SLA) τις υποχρεώσεις του σχετικά με την ασφάλεια 

σε τρίτο φορέα, ιδιωτικό ή δημόσιο, τότε οι παραπάνω ελεγκτικές αρμοδιότητες ισχύουν 

και για τον τρίτο φορέα. 

V. Συντάσσει έκθεση ελέγχου συμμόρφωσης στην οποία καταγράφονται όλες οι πιθανές αποκλείσεις 

από τα απαιτούμενα μέτρα ασφάλειας, αλλά και οι μεταβολές/βελτιώσεις που καταγράφηκαν 

σε σχέση με προηγούμενους ελέγχους. 

6.2.2.3 Καταμερισμός αρμοδιοτήτων Ομάδας Ελέγχου 

Οι αρμοδιότητες της Ομάδας Ελέγχου μπορούν να καταμεριστούν με δύο εναλλακτικά σενάρια: 

• Συγκεντρωτικό μοντέλο: Η Ομάδα Ελέγχου έχει την ευθύνη για την πραγματοποίηση όλων των 

ελέγχων στους εποπτευόμενους φορείς της Δημόσιας Διοίκησης, τακτικούς ή/και έκτακτους, 

με σκοπό τον έλεγχο συμμόρφωσής τους. Επίσης, έχει τον έλεγχο της συλλογής, επεξεργασίας 

και αποθήκευσης των εγγράφων ασφάλειας των φορέων (πολιτικές ασφάλειας, σχέδια ανάκαμψης 

κλπ.). 

• Κατανεμημένο μοντέλο: Θεσμοθετούνται και λειτουργούν, ανά Υπουργείο, Γραφεία Ασφάλειας 

Συστημάτων, τα οποία αναλαμβάνουν τη διεξαγωγή των ελέγχων στα πληροφοριακά και επικοινωνιακά 

συστήματα των φορέων, την συλλογή και αποθήκευση των εγγράφων ασφάλειας 

και τη σύνταξη εκθέσεων ελέγχου συμμόρφωσης. Με δεδομένη τη δυσκολία λειτουργίας 

τέτοιων υπηρεσιών σε όλα τα υπουργεία, μπορεί αρχικά να λειτουργήσουν σε υπουργεία με 

μεγαλύτερη εμπειρία σε διαχείριση πληροφοριακών και επικοινωνιακών συστημάτων (π.χ. Υπ. 

Εσωτερικών, Υπουργείο Μεταφορών και Επικοινωνιών, Υπουργείο Οικονομίας κλπ.). Η Ομάδα 

Ελέγχου διατηρεί έναν κυρίως συντονιστικό ρόλο κατά τον οποίο συνδράμει τα Γραφεία Α- 

σφάλειας σε ζητήματα διεξαγωγής ελέγχων (μεθοδολογίες, ερωτηματολόγια, τεχνικές συμβουλές 

κλπ.), έχει πρόσβαση σε όλα τα στοιχεία των ελέγχων (repository) και λαμβάνει και αξιολογεί 

τα αποτελέσματα των ελέγχων. Επίσης, έχει την αρμοδιότητα να πραγματοποιεί συμπληρωματικά 

έκτακτους και δειγματοληπτικούς ελέγχους. Τέλος, μπορεί μεταβατικά να αναλάβει 

τη διεξαγωγή και των τακτικών ελέγχων, για τους φορείς εκείνους που ανήκουν σε υπουργεία 

τα οποία δεν υποστηρίζονται επί του παρόντος από τοπικό Γραφείο Ασφάλειας Συστημάτων. 



228



Ομάδα 

Ελέγχου 

Γραφείο 


Συστημάτων 

ΥΠΟΥΡΓΕΙΑ 

… … … 

Γραφείο 


Συστημάτων 


Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου 

I. Τα μέλη διαθέτουν σημαντική και εκτενή εμπειρία σε τεχνολογικά ζητήματα πληροφοριακών 

ή/και επικοινωνιακών συστημάτων και ταυτόχρονα εμπειρία διενέργειας τεχνικών ε- 

λέγχων. 

II. Έχει κάθετη οργάνωση ελέγχου και εποπτείας (ανά τομέα), με στελέχη τα οποία έχουν την 

κατάλληλη εξειδίκευση ανάλογα με τον τομέα (τομείς) ελέγχου. 

III. Τα μέλη της Ομάδας Ελέγχου αποτελούνται από: 

i) Ένα πυρήνα μόνιμων μελών. 

ii) Ένα ευρύτερο σύνολο εξωτερικών μελών, που ανήκουν σε άλλους συνεργαζόμενους 

φορείς ελέγχου (πχ. στελέχη Ανεξάρτητων Αρχών, άλλων Εποπτικών Φορέων κλπ.). 


I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή. 

II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων. 

III. Λαμβάνει πληροφορίες σχετικές με τον ελεγκτικό της ρόλο από όλες τις ομάδες. και κυρίως 

από την Ομάδα Συλλογής Πληροφοριών-Περιστατικών, την Ομάδα Αντιμετώπισης 

Περιστατικών και την Ομάδα Διερεύνησης Περιστατικών. 

IV. Συνεργάζεται με τους ανά υπουργείο υπεύθυνους για την ασφάλεια των εποπτευόμενων 

φορέων της Δημόσιας Διοίκησης 


I. Συνεργάζεται με τις ανά Υπουργείο υπηρεσίες/γραφεία που ασχολούνται με θέματα ασφάλειας 

στις ΤΠΕ (πχ. Γραφεία Ασφάλειας ανά υπουργείο) 

II. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.). 



229



III. Συνεργάζεται με άλλους θεσμοθετημένους Εποπτικούς Φορείς (πχ. Τράπεζα της Ελλάδος). 

6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων 


Ο βασικός ρόλος της Ομάδας Συμβούλων-Εμπειρογνωμόνων είναι να υποστηρίζει το έργο της Συντονιστικής 

Επιτροπής αλλά και όλου του σχήματος σε επιστημονικό και ερευνητικό επίπεδο. Είναι 

η βασική πηγή τεχνογνωσίας σε θέματα ασφάλειας και προστασίας κρίσιμων υποδομών. 

Ενδεχομένως να είναι σκόπιμο η ομάδα να συνεργάζεται στενά με άλλα ερευνητικά κέντρα που δραστηριοποιούνται 

στο χώρο ή να αποτελέσει ερευνητικό ινστιτούτο που θα πιστοποιεί τις γνώσεις των 

εκπαιδευμένων σε συγκεκριμένα θέματα ασφάλειας όπως: πολιτκές ασφάλειας/σχέδια ανάκαμψης 

καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνολογίες διαχείρισης ταυτότητας 

(έξυπνες κάρτες, βιομετρικά, ψηφιακά πιστοποιητικά), ασφαλείς αρχιτεκτονικές (πχ. SOA), κλπ. 


Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες: 

I. Εκπόνηση Μελετών για λογαριασμό της Συντονιστικής Επιτροπής 

II. Καθορισμός Μέτρων Προστασίας, Προδιαγραφών ασφάλειας και Βέλτιστων πρακτικών για 

τη Δημόσια Διοίκηση. 

i) Παρέχει συμβουλές για καινούρια πρότυπα, πρακτικές, οδηγίες και εξελίξεις στη νομοθεσία. 

ii) Για το σκοπό αυτό συνεργάζεται με εμπειρογνώμονες από άλλους φορείς οι οποίοι έ- 

χουν αρμοδιότητες σε ζητήματα ασφάλειας πληροφοριακών και επικοινωνιακών υποδομών 

(πχ. Ανεξάρτητες Αρχές). 

III. Καθορισμός κριτηρίων εντοπισμού των Κρίσιμων ΥΠΕ 

IV. Αξιολόγηση της κρισιμότητας των Κρίσιμών ΥΠΕ 

V. Συντάσει Οδηγίες και Βέλτιστες Πρακτικές για τους φορείς της Δημόσιας Διοίκησης 62 

VI. Διαδραματίζει συμβουλευτικό ρόλο προς όλες τις άλλες ομάδες σε θέματα ασφάλειας και 

προστασίας Κρίσιμων Υποδομών 


Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων σε θέματα ασφάλειας και προστασίας 

κρίσιμων υποδομών καθώς και από νομικούς επιστήμονες που εξειδικεύονται στην ασφάλεια ΤΠΕ. 

Κριτήρια για την επιλογή τους είναι: 

I. Τεχνογνωσία σε θέματα ασφάλειας. 

II. Τεχνογνωσία σε θέματα προστασίας κρίσιμων υποδομών. 

III. Ερευνητική εργασία ή/και επαρκής επαγγελματική εμπειρία στις αντίστοιχες γνωστικές περιοχές. 

62 Οι οδηγίες και πρακτικές αφορούν τις μη διαβαθμισμένες πληροφορίες. 



230




I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από τη Συντονιστική Επιτροπή. 

II. Συνεργάζεται στενά με την Ομάδα Ελέγχου. 

III. Ασκεί συμβουλευτικό ρόλο σε όλες τις ομάδες και κυρίως στην Ομάδα Αντιμετώπισης Περιστατικών 

και την Ομάδα Διερεύνησης Περιστατικών, όταν παραστεί ανάγκη. 

IV. Μέλη της συμμετέχουν στην Ομάδα Αντιμετώπισης Κρίσεων. 


V. Παρέχει εξειδικευμένες-εξατομικευμένες οδηγίες για συγκεκριμένα ζητήματα προστασίας 

κρίσιμων υποδομών προς φορείς της ΔΔ (μέσω της Συντονιστικής Επιτροπής). 

VI. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.) και ενημερώνεται 

για νέους κανονισμούς. Είναι σκόπιμη η στενή συνεργασία με τις αρχές αυτές σε επιστημονικό 

επίπεδο. 

VII. Συνεργάζεται με Ερευνητικά ινστιτούτα και Φορείς (πχ. ENISA κλπ.) και αντλεί γνώση για 

θέματα κρίσιμων υποδομών 

6.2.4 Ομάδα Διαχείρισης Κρίσεων 


Οι στόχοι της ομάδας διαχείρισης κρίσεων είναι (α) να διαχειριστεί αποτελεσματικά και έγκαιρα ο- 

ποιαδήποτε κρίση προκύψει η οποία σχετίζεται με την κρίσιμες ΠΕΥ ΔΔ., (β) να μειώσει τις επιπτώσεις 

και την έκταση μιας κρίσης και (γ) να αξιοποιεί εμπειρία από προγενέστερες κρίσεις η 

οποία διαχειρίστηκε ή/και από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία. 



I. Ενεργοποιείται μέσω διαδικασίας από τη Συντονιστική Επιτροπή, όταν συνθήκες που ορίζουν 

«κρίση» πληρούνται. 

II. Είναι υπεύθυνη για το χειρισμό της κρίσης και γνωμοδοτεί μετά το πέρας της κρίσης στη 

Συντονιστική Επιτροπή. 

III. Συνεδριάζει σε τακτική βάση και προετοιμάζεται για ενδεχόμενη κρίση. 

IV. Συντάσσει και επανεξετάζει το σχέδιο αντιμετώπισης κρίσεων, το οποίο και υποβάλλει για 

ενημέρωση και έγκριση στη Συντονιστική Επιτροπή. 

V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στις 

προδιαγραφές για τη σύνταξη σχεδίων συνέχισης λειτουργίας. 

6.2.4.3 Προφίλ μελών 

I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται τόσο από διοικητικά 

στελέχη (Συντονιστική Επιτροπή) όσο και από άτομα με ευρεία τεχνογνωσία. 

II. Τα μέλη είναι καθορισμένα εκ των προτέρων (στατικά ή ανάλογα με το χαρακτήρα της κρίσης), 

ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών μελών. 



231



III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης κρίσεων, ώστε να 

μπορεί να αντιδράσουν κατάλληλα και έγκαιρα σε κάποια κρίση. 


I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή σε μη περιόδους 

κρίσεων, αλλά σε περίοδο κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και 

αναλαμβάνει τη διαχείριση της κρίσεως. 

II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων. 

III. Λαμβάνει πληροφορίες από όλες τις ομάδες και κυρίως από την Ομάδα Συλλογής Πληροφοριών-Περιστατικών 

και την Ομάδα Αντιμετώπισης Περιστατικών, που ενδέχεται να εξελιχθούν 

σε κρίση. 


I. Συνεργάζεται με τους εμπλεκόμενους στην κρίση φορείς της ΔΔ. 

6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών 


Βασικός στόχος της ομάδας είναι η παροχή ενός μοναδικού σημείου επαφής με όλα τα ενδιαφερόμενα 

μέρη, στο οποίο γίνεται η αναφορά οποιουδήποτε περιστατικού ή πληροφορίας που αφορά στην 

ασφάλεια των κρίσιμων πληροφοριακών υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της ομάδας 

είναι να λειτουργεί ως ένα υψηλής διαθεσιμότητας κέντρο υποδοχής κλήσεων (call center) το οποίο 

συλλέγει τις εν λόγω πληροφορίες κάνει την πρωτογενή τους επεξεργασία και τις προωθεί στις αρμόδιες 

ομάδες. 


Οι βασικές αρμοδιότητες της ομάδας συλλογής πληροφοριών-περιστατικών είναι οι ακόλουθες: 

I. Λειτουργεί ένα κέντρο λήψης κλήσεων υψηλής διαθεσιμότητας, σε βάση 24ώρου και 7 μερών 

τη βδομάδα. 

II. Δημοσιοποιεί όλους τους εναλλακτικούς τρόπους επικοινωνίας προς κάθε ενδιαφερόμενο. 

Είναι επιθυμητό να υπάρχουν τουλάχιστο τρεις εναλλακτικοί τρόποι επικοινωνίας, όπως τηλέφωνο, 

fax, email, web forms, sms. 

III. Συντηρεί ιστοσελίδα, μέσα στον ιστοχώρο της ευρύτερης ομάδας όπου δημοσιοποιεί τα 

στοιχεία επικοινωνίας 

IV. Συγκεντρώνει, κατηγοριοποιεί και κάνει την πρωτογενή επεξεργασία των κλήσεων που 

λαμβάνει. Καταχωρεί κάθε κλήση σε ειδικά σχεδιασμένη βάση δεδομένων. 

V. Προωθεί όλες ανεξαιρέτως τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης 

περιστατικών 

VI. Παράγει και δημοσιοποιεί συγκεντρωτικά στατιστικά κίνησης του call center, χωρίς αναφορά 

σε συγκεκριμένα περιστατικά. 



232




Η ομάδα αποτελείται από νέα άτομα πανεπιστημιακής ή τεχνολογικής εκπαίδευσης, χωρίς - κατανάγκην 

- μεγάλη εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστημάτων και με γνώσεις χειρισμού 

βάσεων δεδομένων και συντήρησης ιστοσελίδων. Κρίνεται απαραίτητη η παροχή ενός κύκλου 

εκπαίδευσης προς τα μέλη της ομάδας, ο οποίος θα περιλαμβάνει τη θεωρητική τεκμηρίωση της α- 

σφάλειας ΠΣ, καθώς και την εισαγωγή σε βασικά τεχνικά ζητήματα ασφάλειας υπολογιστών και δικτύων. 


I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή 

II. Προωθεί τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης περιστατικών. Η 

ροή των πληροφοριών αυτών γίνεται αφού έχει γίνει η βασική κατηγοριοποίηση-δόμηση της 

πληροφορίας, με συγκεκριμένο πρωτόκολλο, μέσω της Βάσης Δεδομένων που συντηρείται. 


I. Διαθέτει ανοικτά κανάλια επικοινωνίας με οποιονδήποτε φορέα της Δημόσιας Διοίκησης 

II. Συνεργάζεται με άλλες ομάδες Αντιμετώπισης Περιστατικών (CSIRT) στην Ελλάδα και στο 

εξωτερικό, ώστε να είναι δυνατή η ανταλλαγή πληροφοριών και προς τις δύο κατευθύνσεις. 

Αυτό συμβαίνει στις περιπτώσεις που ένα περιστατικό ασφάλειας εκτείνεται πέρα από τα ό- 

ρια ευθύνης της συγκεκριμένης ομάδας ή στις περιπτώσεις που μια άλλη ομάδα ενημερωθεί 

για ένα περιστατικό όπου εμπλέκεται και η Δημόσια Διοίκηση. 

6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη 


Ο βασικός στόχος της ομάδας είναι η παροχή πληροφόρησης προς τους διαχειριστές και τους χρήστες 

των πληροφοριακών υποδομών της ΔΔ, σχετικά με πιθανά προβλήματα ασφάλειας που αφορούν 

τα συστήματά τους, τις δυνατότητες πρόληψης και τους πιθανούς τρόπους επίλυσης των προβλημάτων. 

Ο ρόλος της ομάδας αυτής είναι να συγκεντρώνει, να φιλτράρει, να κατηγοριοποιεί και 

να δημοσιοποιεί οποιοδήποτε ζήτημα ασφάλειας προκύπτει, είτε ανακοινώνεται από κατασκευαστές 

συστημάτων λογισμικού και εξοπλισμού δικτύων, είτε δημοσιοποιείται από άλλες ομάδες CSIRT, 

είτε διαπιστώνεται από την ίδια την ομάδα. Η ομάδα αυτή θα πρέπει να παρέχει μόνο την πληροφορία 

που αφορά στα συστήματα της ΔΔ, έτσι ώστε η διάχυσή της προς τους ενδιαφερόμενους να είναι 

ιδιαίτερα επικεντρωμένη και αποτελεσματική. 


I. Παρακολουθεί σε καθημερινή βάση τις ανακοινώσεις ασφάλειας (security advisories) επιλεγμένων 

κατασκευαστών και άλλων ομάδων CSIRT. 

II. Επικοινωνεί τακτικά με τους διαχειριστές των υποδομών της ΔΔ, ώστε να καταγράφει τα 

συστήματα δικτύων και λογισμικού που χρησιμοποιούνται και έτσι να μπορεί να κάνει στοχευμένη 

ενημέρωση για αυτά. 

III. Συντηρεί εκτεταμένο περιεχόμενο σε ιστοσελίδες, το οποίο μεταξύ άλλων περιέχει: 

i) Ανακοινώσεις για 

o 

την ασφάλεια, κατηγοριοποιημένες ανά κατασκευαστή. 



233



o 

o 

κρίσιμα ζητήματα ασφάλειας, όπως οι πιο συχνές επιθέσεις, η δεκάδα των πιο επικίνδυνων 

ιών, πρόσφατα σημαντικά περιστατικά (horror stories) που καταγράφηκαν 

από άλλες ομάδες. 

κρίσιμες ενημερώσεις λογισμικού που έχουν εκδοθεί και αφορούν στα συστήματα 

της ΔΔ. 

ii) Ανάλυση των σημαντικών security advisories ως προς το ποιους αφορά, ποιες είναι 

οι πιθανές επιπτώσεις, ποιες είναι οι τεχνικές λύσεις, ποιες είναι οι επιπτώσεις των 

λύσεων και ποιο το πιθανό κόστος τους. 

iii) Συστάσεις για βέλτιστες πρακτικές (πχ. στη συντήρηση συστημάτων, στη σύνταξη 

SLA, στην εκπόνηση ανάλυσης επικινδυνότητας κλπ.). 

iv) Πηγές και αναφορές προς επιπλέον πληροφόρηση που μπορεί να αντλήσει ο ενδιαφερόμενος 

από το διαδίκτυο. 

v) Προτάσεις για πακέτα λογισμικού και open-source εργαλεία για την προστασία και 

την παρακολούθηση των συστημάτων. 

vi) Ενημέρωση για νομικά ζητήματα που αφορούν στην ασφάλεια και την ιδιωτικότητα. 

vii) Ενημέρωση για επιχειρηματικούς Άξονες που επηρεάζουν την ασφάλεια και την ε- 

πιχειρησιακή υπευθυνότητα που αφορά την ασφάλεια. 

viii) Ενημέρωση για την δραστηριότητα άλλων σχετικών ευρωπαϊκών και διεθνών ο- 

μάδων. 

IV. Οργανώνει ενημερωτικά σεμινάρια, σε συνεργασία με το Τμήμα Δημοσίων Σχέσεων. 


Τα μέλη της ομάδας έχουν μέτρια τεχνική εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστημάτων 

και γνωρίζουν βασικά στοιχεία λειτουργικών συστημάτων και δικτυακών συσκευών μεγάλων 

κατασκευαστών. Έχουν επίσης εμπειρία στην ανάπτυξη ιστοσελίδων. Είναι επιθυμητή η παρακολούθηση 

σεμιναρίων που οργανώνονται από διεθνείς ομάδες CSIRT, όπως η CERT/CC. 



II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων, από όπου δέχεται συστάσεις 

τεχνικού περιεχομένου. 

III. Αντλεί πληροφορίες από την ομάδα αντιμετώπισης περιστατικών, ώστε να ανακοινώνει μετρα 

πρόληψης ή/και καταστολής για κάποιο σημαντικό περιστατικό. 

IV. Συνεργάζεται με την Ομάδα Δημοσίων Σχέσεων 


I. Ανταλλάσσει πληροφορίες ενημερωτικού χαρακτήρα με άλλες ομάδες αντιμετώπισης περιστατικών, 

στην Ελλάδα και στο εξωτερικό. 

II. Παρέχει εξειδικευμένη-εξατομικευμένη ενημέρωση για συγκεκριμένα ζητήματα ασφάλειας 

προς φορείς της ΔΔ. 



234



III. Ενημερώνεται από τις θεσμοθετημένες ανεξάρτητες Αρχές για νέους κανονισμούς που 

σχετίζονται με την ασφάλεια πληροφοριακών και επικοινωνιακών συστημάτων. 

6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών 


Οι στόχοι της ομάδας για την αντιμετώπιση περιστατικών είναι (α) να διαχειριστεί αποτελεσματικά 

και έγκαιρα οποιοδήποτε περιστατικό ασφαλείας προκύψει το οποίο σχετίζεται με την κρίσιμες 

ΠΕΥ ΔΔ., (β) να λαμβάνει μέτρα για διαρκή πρόληψη κατά αντίστοιχων περιστατικών ασφαλείας, 

(γ) να ενημερώνει συνεχώς τους ενδιαφερομένους για τυχόν περιστατικά ασφαλείας που προκύπτουν 

σε άλλες υποδομές ΤΠΕ, και (δ) να αξιοποιεί εμπειρία από προγενέστερα περιστατικά τα ο- 

ποία διαχειρίστηκαν από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία. Συνιστάται η δημιουργία 

δύο υπο-ομάδων: η μια ομάδα θα βρίσκεται σε συνεχή επικοινωνία με τους φορείς και θα τους 

επικουρεί σε περιστατικά για τα οποία είναι γνωστός ο τρόπος αντιμετώπισής τους, ενώ η άλλη ο- 

μάδα θα προσπαθεί να εντοπίσει νέα περιστατικά, αλλά και να διερευνήσει τα χαρακτηριστικά και 

τους τρόπους αντιμετώπισής τους. 



V. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υποδομών. 

VI. Αναλαμβάνει άμεση δράση, χωρίς ειδική εξουσιοδότηση από τη Συντονιστική Επιτροπή, 

κατά την ύπαρξη περισταστικών ασφαλείας. 

VII. Είναι υπεύθυνη για το χειρισμό των περιστατικών και παράγει αναφορές κατά τη διάρκεια 

και ολοκλήρωση της διαχείρισης ενός περιστατικού ασφαλείας. 

VIII. Διατηρεί μητρώο με όλες τα συμβάντα, και προβαίνει σε συχνές ενημερώσεις προς τους διασυνδεδεμένους 

φορείς για το είδος και το χειρισμό αντίστοιχων συμβάντων. 

IX. Συνεδριάζει σε τακτική βάση. 

X. Διατηρεί Βάση Δεδομένων με συγκεκριμένες διαδικασίες αντιμετώπισης περιστατικών α- 

σφαλείας από περιπτώσεις σε Ελλάδα, Ευρώπη και παγκοσμίως. 

XI. Συνεργάζεται διαρκώς με την ομάδα για τη Συλλογή Πληροφοριών/Περιστατικών, και με 

την ομάδα για την Ενημέρωση/Πρόληψη. 

XII. Διατηρεί συνεχή αμφίδρομη επικοινωνία με αντίστοιχες Ομάδες τύπου CSIRT του εξωτερικού, 

με το εθνικό CERT, με το Ερευνητικό Ινστιτούτο Ασφάλειας, με άλλα συνεργαζόμενα 

Ευρωπαϊκά CERTs, και εμπειρογνώμονες (expert groups). 

XIII. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων, προωθεί τις πληροφορίες που συγκεντρώθηκαν 

για τα περιστατικά και ζήτα καθοδήγηση σε περιπτώσεις όπου το σύμβαν είναι 

νέο και δεν έχει αντιμετωπιστεί ξάνα. 

XIV. Δρα επικουρικά στο έργο της Ομάδας Διαχείρισης Κρίσεων, αξιοποιώντας στο έπακρον τη 

γνώση και εμπειρία που έχει αποκτηθεί από τη διαχείριση και αντιμετώπιση καθημερινών 

περιστατικών (τα οποία δεν χαρακτηρίζονται ως ‘κρίσιμα’). 



235




I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται κυρίως από ε- 

ξειδικευμένους επιστήμονες και τεχνικούς ασφαλείας, και κατά ένα μικρό μέρος από διοικητικά 

στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, διατήρηση αρχείου 

συμβάντων, Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτερικού). 

II. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών 

μελών. 

III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης περιστατικών ασφαλείας, 

ώστε να μπορεί να αντιμετωπίζουν έγκαιρα και με αποτελεσματικότητα τέτοια συμβάντα. 


I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή, αλλά σε περίοδο 

κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και αναλαμβάνει τη διαχείριση 

της κρίσεως. 

II. Συνεργάζεται με την Ομάδα Συμβούλων -Εμπειρογνωμόνων. 

III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφοριών-Περιστατικών 

και την Ομάδα Διαχείρισης Κρίσεων. 


I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές 

II. Συνεργάζεται διαρκώς με αντίστοιχες ομάδες τύπου CSIRT του εξωτερικού. 

6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation) 


Οι στόχοι της ομάδας για τη Διερεύνηση (Investigation) Περιστατικών είναι (α) να διερευνήσει τα 

αίτια και τους υπαιτίους πρόκλησης περιστατικών ασφαλείας στις κρίσιμες ΠΕΥ ΔΔ., (β) να αξιοποιεί 

εμπειρία από προγενέστερα περιστατικά τα οποία διαχειρίστηκαν από άλλες σχετικές ομάδες 

και τη διεθνή βιβλιογραφία, και (γ) να αποτελεί το σύνδεσμο (liaison) με ομάδες επιβολής του νόμου. 

Η Ο.Ε. δεν έκρινε σκόπιμο να υπάρχει ομάδα διερεύνησης πειστηρίων, με στόχο την επιβολή 

κυρώσεων. Συνεπώς, ο κύριος ρόλος αυτής της ομάδας είναι να ειδοποιεί τις αντίστοιχες ομάδες ε- 

πιβολής του νόμου και να συνδράμει στο έργο τους. 



I. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υποδομών. 

II. Αναλαμβάνει άμεση δράση, χωρίς ειδική διαδικασία από τη Συντονιστική Επιτροπή, κατά 

την ύπαρξη περιστατικών ασφαλείας που χρήζουν διερεύνησης. 

III. Συνεργάζεται διαρκώς με την ομάδα για τη Αντιμετώπιση Περιστατικών και την Ομάδα 

Διαχείρισης Κρίσεων. 



236



IV. Διατηρεί συνεχή αμφίδρομη επικοινωνία με ομάδες επιβολής του νόμου. 

V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στη 

διαχείριση περιστατικών ασφαλείας. 


I. Στελεχώνεται από ένα μικρό αριθμό προσώπων, τα οποία έχουν εξειδίκευση σε έλεγχο και 

διερεύνηση ή νομικούς επιστήμονες. 

II. Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων/τεχνικών ασφαλείας και από εξειδικευμένους 

στην ασφάλεια ΤΠΕ νομικούς επιστήμονες. Τέλος, απασχολεί και διοικητικά 

στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, τήρηση αρχείου συμβάντων, 

Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτερικού). 

III. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών 

μελών. 

IV. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διερεύνησης περιστατικών ασφαλείας, 

ώστε να μπορούν να φέρουν εις πέρας με αποτελεσματικότητα τη διερεύνηση αντίστοιχων 

συμβάντων. 

V. Τα μέλη διατηρούν στενούς συνδέσμους με ομάδες επιβολής του νόμου. 



II. Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και την Ομάδα Διαχείρισης Κρίσεων. 

III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφοριών-Περιστατικών 

και την Συμβούλων - Εμπειρογνωμόνων. 


I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές. 

II. Βρίσκεται σε στενή συνεργασία με ομάδες επιβολής του νόμου. 

6.2.9 Αλλες ομάδες 

6.2.9.1 Αγορά (Agora) εκπροσώπων φορέων 

Στόχος της αγοράς είναι να δοθεί βήμα σε φορείς να εκφράσουν ελεύθερα τις θέσεις τους, μέσω των 

εκπροσώπων τους. Η Αγορά είναι μια μέθοδος συνεχούς και δημόσιας διαβούλευσης, ανοικτή και 

διαφανής. Οι συμμετέχοντες δεν καλούνται απλώς να εκφρασθούν τις θέσεις τους, αλλά επίσης να 

συνθέσουν από κοινού, και εγγράφως, αναλύσεις και προτάσεις. Το ζητούμενο είναι να υπογραμμισθούν 

οι δυνατές συναινέσεις ή να καταγραφούν σαφώς οι υπάρχουσες αποκλίνουσες εναλλακτικές 

λύσεις. Έτσι, τα αποτελέσματα μιας Αγοράς ενδέχεται να ενσωματωθούν στη στρατηγική της Συντονιστικής 

Επιτροπής. 

Η δραστηριοποίηση της Αγοράς πραγματοποιείται από ένα Συντονιστή, ο οποίος είναι επιφορτισμένος 

με την παρακολούθηση των συζητήσεων, καθώς και τους συντάκτες, οι οποίοι είναι επιφορτισμένοι 

με την επίσημη καταγραφή των απόψεών τους. Ο συντονιστής είναι επιφορτισμένος να διευθύνει 

τις συζητήσεις και ο ρόλος του περιλαμβάνει τα εξής: 



237



I. τη μελέτη των εισηγήσεων που κατατίθενται από τους συμμετέχοντες οργανισμούς. 

II. την επανεπικέντρωση των συζητήσεων στην ουσία του θέματος υπενθυμίζοντας τους 

στόχους της αγοράς. 

III. την επεξεργασία των αποτελεσμάτων που προκύπτουν και τη μεταφορά τους στη Συντονιστική 

Επιτροπή. 

6.2.9.2 Ερευνητικό Ινστιτούτο 

Στόχος του διασυνδεόμενου Ερευνητικού Ινστιτούτου είναι η διενέργεια ερευνών και μελετών για ό- 

λα τα ζητήματα που αφορούν την προστασία των κρίσιμων ΠΕΥ. Ενώ η Ομάδα Συμβούλων-Εμπειρογνωμόνων 

συνεργάζεται με τη Συντονιστική Επιτροπή για την πρακτική εφαρμογή προτάσεων 

που προκύπτουν από τη διεθνή εμπειρία και βιβλιογραφία, το Ερευνητικό Ινστιτούτο αποτελεί ένα 

Κέντρο Αριστείας και επεξεργασίας και παραγωγής μελετών και προτάσεων προς την Ομάδα Συμβούλων-Εμπειρογνωμόνων. 

Το Ερευνητικό Ινστιτούτο δεν εντάσσεται αλλά εφάπτεται στο προτεινόμενο 

οργανωτικό σχήμα, έτσι ώστε να έχει τους απαιτούμενους βαθμούς ελευθερίας κατά τη μελέτη 

και υποβολή προτάσεων για πιθανή ενσωμάτωση και αξιοποίηση από το κύριο σχήμα. 

Οι βασικές εργασίες που πραγματοποιεί το ερευνητικό ινστιτούτο είναι οι εξής: 

I. Μελέτη και παρακολούθηση της διεθνούς πρακτικής και βιβλιογραφίας σε ζητήματα προστασίας 

κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών. 

II. Διενέργεια σχετικών ερευνών και μελετών. 

III. Υποβολή προτάσεων και αναλύσεων προς την Ομάδα Συμβούλων-Εμπειρογνωμόνων. 

IV. Εκπαίδευση και Πιστοποίηση γνώσης σε συγκεκριμένα θέματα όπως: πολιτκές ασφάλειας/ 

σχέδια ανάκαμψης καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνολογίες 

διαχείρισης ταυτότητας κλπ. 

V. Συμμετοχή σε σχετικές διεθνείς ερευνητικές δράσεις. 

6.2.9.3 Τμήμα Δημοσίων Σχέσεων και Τύπου 

Η ύπαρξη κάποιου γραφείου που θα χειρίζεται την επικοινωνία του σχήματος κρίνεται ως επιτακτική 

ανάγκη, τόσο για την προβολή του έργου του, όσο και για τη διασφάλιση ότι τεχνικές πληροφορίες 

επικοινωνούνται στους δημόσιους φορείς και το κοινό με τον κατάλληλο τρόπο. 

Οι αρμοδιότητες του Τμήματος θα είναι μεταξύ άλλων: 

I. Διαχείριση ιστοσελίδας σχετικά με τις δράσεις και τα αποτελέσματα του φορέα. 

II. Οργάνωση ενημερωτικών ημερίδων και έκδοση ενημερωτικών εντύπων. 

III. Συνεργασία με την ομάδα Ενημέρωσης για την παρουσίαση του ενημερωτικού υλικού και 

των οδηγιών. 

IV. Δημιουργία ομάδων εργασίας σε συνεργασία με άλλες παρόμοιες Ευρωπαϊκές ομάδες σε 

συγκεκριμένα θέματα αιχμής 



238



6.3 Ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα Πληροφοριακά 

& Επικοινωνιακά Συστήματα της ΔΔ 

Στην ενότητα αυτή περιγράφονται τρία ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα 

ΠEY της ΔΔ, όταν ενεργοποιείται το προτεινόμενο οργανωτικό Σχήμα. 

6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του 


Στην ενότητα αυτή περιγράφεται ένα απλό σενάριο μη διαθεσιμότητας υπηρεσίας μιας νησίδας του 

ΣΥΖΕΥΞΙΣ ώστε να διευκρινισθούν οι δράσεις αντιμετώπισης του Φ., όπως προκύπτουν από το 

προτεινόμενο οργανωτικό σχήμα του. 

6.3.1.1 Περιγραφή σεναρίου 

Η ιδιωτική εταιρεία Α παρέχει υπηρεσίες διασύνδεσης στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ, η οποία έχει 

τις μεγαλύτερες απαιτήσεις σε εύρος δικτύου. Οι παρεχόμενες υπηρεσίες αφορούν τηλεφωνία (τηλεφωνική 

επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και 

Video (τηλεδιάσκεψη - τηλεεκπαίδευση). 

Το τελευταίο διάστημα έχει παρατηρηθεί ένα αυξημένο επίπεδο παραπόνων και κλήσεων στο Help 

Desk από τους χρήστες της Νησίδας, οι οποίες έχουν ως κοινό σημείο αναφοράς το χαμηλό επίπεδο 

των παρεχομένων υπηρεσιών. Οι εν λόγω αναφορές επικεντρώνονται στα εξής συμπτώματα: 

• Τηλεφωνία: Η επικοινωνία μεταξύ των χρηστών διακόπτεται αρκετά συχνά, η ποιότητα του ήχου 

είναι φτωχή και η καθυστέρηση στη μετάδοση κάνει τη συνομιλία δυσχερή έως και αδύνατη (τις 

ώρες αιχμής). 

• Δεδομένα: Η επικοινωνία που αφορά αλληλεπίδραση με εφαρμογές η-διακυβέρνησης είναι αρκετά 

αργή, ενίοτε και αδύνατη λόγω παρέλευσης του διαστήματος αδράνειας (timeout) τόσο κατά 

την αρχική σύνδεση (αδυναμία σύνδεσης στο σύστημα) όσο και μετά την εισαγωγή σε αυτό, με 

αποτέλεσμα να χάνεται εργασία σε εξέλιξη στο εν λόγω συστήματα. Σε ότι αφορά την πρόσβαση 

στο διαδίκτυο, παρατηρούνται τα ίδια φαινόμενα καθυστέρησης ακόμη και για απλή περιήγηση 

σε ιστοτόπους. 

• Υπηρεσίες Video: Είναι αδύνατο να χρησιμοποιηθούν πρακτικά, λόγω της αδυναμίας του δικτύου 

να παρέχει το απαιτούμενο εύρος κίνησης (bandwidth). 

Η Νησίδα Χ παρέχει κρίσιμες υπηρεσίες πληροφορικής, τόσο στους χρήστες της ΔΔ, όσο και 

στους πολίτες αφού φιλοξενεί εσωτερικά συστήματα του ΣΥΖΕΥΞΙΣ αλλά και εθνικές/διασυνοριακές 

ασφαλείς υπηρεσίες η-διακυβέρνησης. Περαιτέρω, η συγκεκριμένη χρονική περίοδος (τέλος 

περιόδου κατάθεσης φορολογικών δηλώσεων μέσω του διαδικτύου) δυσχεραίνει περαιτέρω την κατάσταση, 

αφού ο αυξημένος φόρτος του δικτύου διογκώνεται λόγω της εν λόγω συγκυρίας. 

Η εταιρεία Α παρέχει τις εν λόγω υπηρεσίες στο ΣΥΖΕΥΞΙΣ βάσει επίσημου SLA (Service Level 

Agreement) μεταξύ του υπεύθυνου φορέα (ΥΠΕΣΔΔΑ) και της ιδιωτικής εταιρείας Α. Λόγω εσωτερικών 

προβλημάτων ρευστότητας, ο καθύλην πάροχος των υπηρεσιών διασύνδεσης και με βάση 

το σχετικό SLA (εταιρεία Α - πάροχος υπηρεσιών διασύνδεσης) περικόπτει το διαθέσιμο εύρος δικτύου, 

με συνέπεια η μετακύλιση του προβλήματος να παραβιάζει το SLA ΥΠΕΣΔΔΑ - εταιρείας 

Α αφού δεν τηρείται το προβλεπόμενο επίπεδο υπηρεσίας. Το εν λόγω SLA έχει κατατεθεί στο Φ. 

μαζί με τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του ΣΥΖΕΥΞΙΣ. Το σύνολο 

της παραπάνω τεκμηρίωσης έχει ελεγχθεί ως προς τη συμβατότητά του με το πρότυπο ISO 27001 ή 

κάποιο αντίστοιχο, ευρείας αποδοχής. 



239



Ο υπεύθυνος δικτύου της Νησίδας Χ από την πλευρά του ΥΠΕΣΔΔΑ έχει ειδοποιηθεί για το πρόβλημα, 

ενημερώνει τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ και ειδοποιεί το Τμήμα Συλλογής 

Περιστατικών του Φ. 

6.3.1.2 Δράσεις του Φ. 

1. Η Ομάδα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο δικτύου 

της Νησίδας Χ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-repudiation). 

2-4. Η Ομάδα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην 

Ομάδα Διερεύνησης Περιστατικών. 

5-8. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και συνεργάζεται με τον υπεύθυνο 

δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ για συλλογή περισσότερων 

πληροφοριών, συνεργάζεται με την Ομάδα Ελέγχου όσον αφορά το Σχέδιο Συνέχισης Λειτουργίας 

της Νησίδας Χ και προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης 

Περιστατικών και στην Ομάδα Ελέγχου. 

9-12. Η Ομάδα Αντιμετώπισης Περιστατικών συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρογνωμόνων 

και δρομολογεί τις ενέργειες που προβλέπονται από το Σχέδιο Συνέχισης Λειτουργίας 

της Νησίδας Χ. Επειδή εκτιμάται ότι υπάρχει κατάσταση σοβαρής κρίσης, ενημερώνεται η Συντονιστική 

Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ομάδα Διαχείρισης Κρίσεων. 

13-14 και 18-20. Η Ομάδα Διαχείρισης Κρίσεων διαμορφώνει το σχέδιο αντιμετώπισης της κρίσης 

για τη συγκεκριμένη περίπτωση και συνεργάζεται με την Ομάδα των Συμβούλων – Εμπειρογνωμόνων, 

την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο. Μετά το τέλος της κρίσης, 

ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπισης της. Το περιστατικό και οι 

τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και Πρόληψη και στο Τμήμα 

Δημοσίων Σχέσεων και Τύπου, ενώ ορίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν 

αντιπρόσωπος για τον τύπο σε περίπτωση μεγάλης δημοσιότητας του περιστατικού. 

15-17. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, ανατρέχει σε καταχωρημένα παρόμοια 

γεγονότα και τους τρόπους αντιμετώπισής τους, ενημερώνει και συνεργάζεται με την Ομάδα Διαχείρισης 

Κρίσεων και την Ομάδα Αντιμετώπισης Περιστατικών, και καταλήγει σε δράσεις και τρόπους 

αντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή 

τρόπο, έτσι ώστε να είναι άμεσα επαναχρησιμοποιήσιμα στο μέλλον. 

21-23. Η Ομάδα για την Ενημέρωση και Πρόληψη καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισής 

του, ενημερώνει τον Υπεύθυνο Δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας 

του ΣΥΖΕΥΞΙΣ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφάλειας του, τις οποίες επανα-υποβάλλονται 

ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο φορέα). Επιπλέον, συντάσσει μια 

περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο προς το ευρύ κοινό 

τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου. Τέλος, ενεργοποιεί όλους τους 

εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ. 

24. Η Ομάδα Διερεύνησης Περιστατικών σε συνεργασία με το Νομικό Σύμβουλο ενημερώνει τις 

Ρυθμιστικές Αρχές και τις ομάδες επιβολής του νόμου για τυχόν καταλογισμό ευθυνών. 

25-26. Το Τμήμα Δημοσίων Σχέσεων και Τύπου ενημερώνει τον ιστότοπο του Φ. σχετικά με την 

κρίση και τους τρόπους αντιμετώπισής του με την περιγραφή που έλαβε από την Ομάδα για την Ε- 



240



νημέρωση και Πρόληψη, και περαιτέρω ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των 

εξωτερικών φορέων. 

Οι παραπάνω δράσεις περιγράφονται στο Σχήμα 40. 

ΟΜΑΔΑ ΕΝΗΜΕΡΩΣΗΣ & ΠΡΟΛΗΨΗΣ 

ΟΜΑΔΑ ΣΥΛΛΟΓΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ 

ΟΜΑΔΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚ 

ΩΝ 

ΟΜΑΔΑ ΣΥΜΒΟΥΛΩΝ 

ΟΜΑΔΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ 

ΣΥΖΕΥΞΙΣ – ΝΗΣΙΔΑ Χ 

ΟΜΑΔΑ ΔΙΕΡΕΥΝΗΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ 

ΟΜΑΔΑ ΕΛΕΓΧΟΥ 

ΣΥΝΤΟΝΙΣΤΙΚΗ ΕΠΙΤΡΟΠΗ 

ΝΟΜΙΚΟΣ ΣΥΜΒΟΥΛΟΣ 

ΤΜΗΜΑ ΔΗΜΟΣΙΩΝ ΣΧΕΣΕΩΝ 

& ΤΥΠΟΥ 

24. Ενημέρωση Ρυθμιστικών Αρχών και Ομάδων Νόμου 

1. Αναφορά Περιστατικού 

20. Ορισμός Αντιπροσώπου Τύπου 

2. Καταγραφή Περιστατικού 

19. Κοινοποίηση Περιστατικού και Τρόπων Αντιμετώπισης 

18. Ενημέρωση Συντονιστικής Επιτροπής 

25. Δημοσιοποίηση Περιστατικού 

4. Προώθηση Περιστατικού 

3. Καταχώρηση Περιστατικού 

14β. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών 

14α. Συνεργασία με Ομάδα Συμβούλων 

14γ. Συνεργασία με Νομικό Σύμβουλο 

26. Ενημέρωση Εξωτερικών Φορέων 

5. Ανάλυση Περιστατικού 

15. Ανάλυση Δεδομένων Κρίσης 

6. Αλληλεπίδραση με ΣΥΖΕΥΞΙΣ 

16. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών 

13. Διαμόρφωση Σχεδίου Αντιμετώπισης Κρίσης 

7. Σχέδιο Συνέχισης Λειτουργίας Νησίδας Χ 

8α. Προώθηση Πληροφοριών Περιστατικού 

17. Καταγραφή Περιστατικού και Τρόπων Αντιμετώπισης 

8β. Προώθηση Πληροφοριών Περιστατικού 

9. Αναζήτηση Εμπειρογνωμοσύνης 

10. Εκτίμηση Συνθηκών Κρίσης 

11. Ενημέρωση Συντονιστικής Επιτροπής για Κρίση 

12. Ενεργοποίηση Ομάδας Διαχείρισης Κρίσεων 

23. Εσωτερική Ενημέρωση 

22. Σύνταξη Περιγραφής Περιστατικού για το Κοινό 

21. Ενημέρωση των Υπευθύνων της Νησίδας 

Σχήμα 40: Ακολουθία δράσεων του Φ. στο Σενάριο 1 

6.3.2 Σενάριο 2 – Άγνωστου τύπου Επίθεση στο Υπουργείο Χ 

Στην παρούσα ενότητα περιγράφεται ένα απλό σενάριο επίθεσης ώστε να διευκρινισθούν οι δράσεις 

αντιμετώπισης του Φ. όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του. 


Το Υπουργείο Χ φιλοξενεί κρίσιμα πληροφοριακά σύστημα με τα οποία προσφέρει εθνικές και διασυνοριακές 

ασφαλείς υπηρεσίες η-διακυβέρνησης με βαθμό κρισιμότητας 2 (ο βαθμός κρισιμότητας 

των υποδομών έχει ήδη αξιολογηθεί από το Φ.). Το Υπουργείο Χ έχει ήδη καταθέσει στο Φ. 

τις πολιτικές ασφάλειας και ιδιωτικότητας των πληροφοριακών συστημάτων και των υπηρεσιών. 

Το Φ. έχει ήδη ελέγξει την συμβατότητα των πολιτικών με το πρότυπο ISO 27001 και τις έχει αποθηκεύσει 

στο τοπική βάση δεδομένων. 



241



Ο υπεύθυνος ασφάλειας έχει ειδοποιηθεί από την ομάδα ασφάλειας του Υπουργείου Χ για ένα 

πρωτοφανές φαινόμενο που δεν εμπίπτει στις γνώσεις τους με τις καταγεγραμμένες επιθέσεις/ιούς. 

Ο υπεύθυνος ασφάλειας ειδοποιεί το Τμήμα Συλλογής Περιστατικών του Φ. 


1. Το Τμήμα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο ασφάλειας 

(ψηφιακά υπογεγραμμένη φόρμα που διατίθεται στην πύλη του Φ.) από το Υπουργείο Χ. 

2-4. Το Τμήμα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην 

Ομάδα Αντιμετώπισης Περιστατικών. 

5-6. Η Ομάδα Αντιμετώπισης και Πρόληψης Περιστατικών αναλύει το περιστατικό (επικοινωνώντας 

και με το υπεύθυνο ασφάλειας του Υπουργείου Χ για περισσότερες λεπτομέρειες), ελέγχει τα 

ήδη κατάχωρημένα περιστατικά και συμπεραίνει ότι πρόκειται για μια καινούργια μη καταχωρημενη 

επίθεση. Προωθεί το περιστατικό στην Ομάδα Διερεύνησης. 

7-9. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και αναζητά εμπειρογνωμοσύνη 

από το εθνικό CERT, απο το Ερευνητικό Ινστιτούτο Ασφάλειας, απο άλλα συνεργαζόμενα Ευρωπαϊκά 

CERTs, με συνεργαζόμενες ομάδες τύπου CSIRT και εμπειρογνωμόνων. Προωθεί τις πληροφορίες 

που συγκεντρώθηκαν στην Ομάδα Συμβούλων. 

10 -11. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, και καταλήγει σε δράσεις και τρόπους α- 

ντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τους τρόπους αντιμετώπισης και τα κοινοποιεί 

στα Γραφεία Ενημέρωσης και Πρόληψης και Δημοσίων Σχέσεων. 


Τέλος, το Γραφείο Ενημέρωσης και Πρόληψης καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισης 

και ενημερώνει τον Υπεύθυνο Ασφάλειας του Υπουργείου Χ (προσαρμόζοντας τις δράσεις 

στις πολιτικές ασφάλειας του) και ενεργοποιεί τους μηχανισμούς ενημέρωσης των χρηστών 

(ανακοίνωση στην πύλη, αποστολή e-mails, ανακοίνωση στο ενημερωτικό φυλλάδιο, τηλεφωνικά, 

οργάνωση ad-hoc σεμιναρίων). Το Γραφείο Δημοσίων Σχέσεων ενεργοποιεί όλους τους μηχανισμούς 

ενημέρωσης των εξωτερικών φορέων (π.χ. εθνικό CERT, συνεργαζόμενα CERT, CSIRT, 

Ερευνητικό Ινστιτούτο κλπ.). 



242



Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2 



243



6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος) 

Στην ενότητα αυτή περιγράφεται ένα σενάριο κρίσης στο κεντρικό δίκτυο τραπεζών που το διαχειρίζεται 

η Τράπεζα της Ελλάδος, και στη συνέχεια περιγράφονται οι δράσεις αντιμετώπισης του Φ. 

όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του. 


Η Τράπεζα της Ελλάδος φιλοξενεί κρίσιμα πληροφοριακά συστήματα, με τα οποία παρέχει υπηρεσίες 

e-governent (δίκτυο Ελληνικών τραπεζών). 

Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων ενημερώνεται από το δίκτυο των τραπεζών 

που είναι συνδεδεμένες και εξυπηρετούνται από το κεντρικό σύστημα της ΤτΕ για ασυνέχεια 

στις προσφερόμενες υπηρεσίες και αδυναμία σύνδεσης στο κεντρικό σύστημα, με αποτέλεσμα να 

παρουσιαστεί δυσλειτουργία στον ευρύτερο τραπεζικό τομέα 

Το πρόβλημα που ανέκυψε δεν δύναται να διορθωθεί από τους τεχνικούς ασφαλείας δικτύων της 

ΤτΕ εντός ολίγων ωρών, έχουν διακοπεί όλες οι συνδέσεις των τραπεζών με το κεντρικό πληροφοριακό 

σύστημα της ΤτΕ και η κατάσταση χαρακτηρίζεται ως ‘κρίση’ εντός της ΤτΕ. 

Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων (ή υπεύθυνος Ασφαλείας, εάν υπάρχει) 

της ΤτΕ ειδοποιεί άμεσα το Τμήμα Συλλογής Περιστατικών του Φ. προκειμένου να λάβει άμεση 

δράση και να επιλυφθεί του θέματος για την άμεση αντιμετώπιση της κρίσεως. 

Η ΤτΕ έχει καταθέσει τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του δικτύου 

των Ελληνικών τραπεζών. Το σύνολο της παραπάνω τεκμηρίωσης έχει ελεγχθεί για συμβατότητα 

με το πρότυπο ISO27001 ή αντίστοιχο, ευρείας αποδοχής. 


Η Ομάδα Συλλογής Περιστατικών 

• Δέχεται την αναφορά περιστατικού από τον υπεύθυνο Πληροφοριακών Συστημάτων και Δικτύων 

της ΤτΕ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-repudiation). 

• Καταγράφει, καταχωρεί και προωθεί το περιστατικό στην Ομάδα Διερεύνησης Περιστατικών. 

Η Ομάδα Διερεύνησης 

• Αναλύει το περιστατικό. 

• Επικοινωνεί και συνεργάζεται με τον Υπεύθυνο Δικτύου και τον Υπεύθυνο Ασφάλειας της ΤτΕ 

για συλλογή περισσότερων πληροφοριών. 

• Προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης Περιστατικών και 

στην Ομάδα Ελέγχου. 

Η Ομάδα Αντιμετώπισης Περιστατικών 

• Συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρογνωμόνων προκειμένου να διερευνήσει την ύ- 

παρξη αντίστοιχου καταχωρημένου περιστατικού στην Βάση Δεδομένων την οποία διατηρεί στο 

αρχείο του το Φ. 

Η Ομάδα Συμβούλων – Εμπειρογνωμόνων 

• Αναγνωρίζει αντίστοιχο συμβάν σε κεντρικά τραπεζικά συστήματα του εξωτερικού. 



244



• Ξεκινάει την καταγραφή προτάσεων προκειμένου για την ανάληψη συγκεκριμένων δράσεων και 

ενεργειών για την αντιμετώπιση και άμεση επίλυση του προβλήματος. 

• Χαρακτηρίζει την κατάσταση ως «Κρίση». 

• Ξεκινάει την εξέταση συγκεκριμένων δράσεων και τρόπους αντιμετώπισης της κρίσης. 

• Παράλληλα, ενημερώνεται η Συντονιστική Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ο- 

μάδα Διαχείρισης Κρίσεων. 

• Ενημερώνει και συνεργάζεται με την Ομάδα Διαχείρισης Κρίσεων και την Ομάδα Αντιμετώπισης 

Περιστατικών 

Η Ομάδα Διαχείρισης Κρίσεων 

• Συνεπικουρούμενη απότην Ομάδα των Συμβούλων-Εμπειρογνωμόνων, διαμορφώνει το Τελικό 

Σχέδιο Αντιμετώπισης της Κρίσης για τη συγκεκριμένη περίπτωση. 

• Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο. 

• Επίσης, ενεργοποιεί τους συνδέσμους της με συναφείς φορείς (Εθνικό CERT, ΕΔΕΤ, ΑΠΠΔ, 

ΑΔΑΕ κλπ.) και συγκαλεί άμεση ενεργοποίηση των μηχανισμών συνεργασίας για την παροχή 

βοηθείας και επιστημονικής και τεχνικής συμβολής για την αντιμετώπιση της κρίσης. 

• Προωθεί το Σχέδιο Αντιμετώπισης της Κρίσης στον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ, 

και ξεκινάει η διαδικασία εξομάλυνσης της κρίσης, βάσει των οδηγιών του Φ. 

Η Ομάδα των Συμβούλων – Εμπειρογνωμόνων 

• Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή τρόπο, έτσι ώστε να είναι άμεσα 

αξιοποιήσιμα σε μελλοντικές αντίστοιχες καταστάσεις κρίσεων. 

• Λαμβάνει ενημέρωση από τον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ για την πορεία επίλυσης 

της κρίσης. 

• Μετά το τέλος της κρίσης, ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπισής 

της. 

• Το περιστατικό και οι τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και 

Πρόληψη και στο Τμήμα Δημοσίων Σχέσεων και Τύπου. 

• Οίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν αντιπρόσωπος για τον Τύπο σε περίπτωση 

μεγάλης δημοσιότητας του περιστατικού. 

Η Ομάδα για την Ενημέρωση και Πρόληψη 

• Καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισής του. 

• Ενημερώνει τον Υπεύθυνο Δικτύου της ΤτΕ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφάλειάς 

του, τις οποίες επανα-υποβάλλονται ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο 

φορέα). 

• Συντάσσει μια περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο 

προς το ευρύ κοινό τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου. 

• Ενεργοποιεί όλους τους εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ. 



245



Η Ομάδα Διερεύνησης Περιστατικών 

• Σε συνεργασία με το Νομικό Σύμβουλο, ενημερώνει τις Ρυθμιστικές Αρχές και τις ομάδες επιβολής 

του νόμου για τυχόν καταλογισμό ευθυνών. 

Το Τμήμα Δημοσίων Σχέσεων και Τύπου 

• Ενημερώνει τον ιστότοπο του Φ. σχετικά με την κρίση και τους τρόπους αντιμετώπισής του με 

την περιγραφή που έλαβε από την Ομάδα για την Ενημέρωση και Πρόληψη, 

• Ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των εξωτερικών φορέων. 


Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3 



246



7 

Διαβούλευση 



247



7. Διαβούλευση 

7.1 Εισαγωγή – Ανάγκη για διαβούλευση 

Όπως ήδη αναφέρθηκε κατά την ανάπτυξη της μεθοδολογίας του παρόντος έργου (παρ. 2.2, Βήμα 

5), απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/ προστασίας υποδομών 

ζωτικής σημασίας είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων μερών. Η προϋπόθεση 

αυτή γίνεται ακόμη πιο αναγκαία στην περίπτωση των υποδομών ΠΕΥ ΔΔ λόγω: 

• της αυξανόμενης πολυπλοκότητας και κρισιμότητας των υποδομών αυτών, 

• της απελευθέρωσης της αγοράς των τηλεπικοινωνιών και της συνακόλουθης αύξησης των εμπλεκόμενων 

μερών στο νέο επιχειρηματικό μοντέλο διευρυμένης συνεργασίας ιδιωτικού και 

δημόσιου τομέα, 

• της αυξανόμενης χρήσης του Διαδικτύου στην παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης 

και της εξ αυτής της χρήσης παγκοσμιοποίησης των απειλών (ο όρος Cybercrime περιγράφει 

τις οργανωμένες επιθέσεις κατά της ασφάλειας κρίσιμων κυβερνητικών υποδομών μέσω 

Διαδικτύου [Mcaf-07]). 

Δεδομένου ότι η «αλυσίδα» της ασφάλειας είναι τόσο ισχυρή όσο ο πιό αδύναμος κρίκος της, απαιτείται 

μια ισοσθενής αύξηση του επιπέδου ασφάλειας όλων των συνδεδεμένων συστημάτων, καθώς 

και η διαρκής ενημέρωση και δέσμευση όλων των συνεργαζόμενων μερών επί των σχετικών θεμάτων 

ασφάλειας. Σε ένα ανοικτό περιβάλλον πολυμερούς συνεργασίας, όπως αυτό της παροχής υπηρεσιών 

ηλεκτρονικής διακυβέρνησης, το μοντέλο της “ασφάλειας μέσω απόκρυψης” (security by 

obscurity) είναι αναποτελεσματικό. Αντίθετα, είναι απαραίτητη η ανάπτυξη μιας «κουλτούρας» α- 

σφάλειας [OECD-02] μέσα από διαρκείς δράσεις ενημέρωσης και διαβούλευσης μεταξύ των συμμετεχόντων 

(παρόχων υποδομών και υπηρεσιών, χρηστών των υπηρεσιών, κανονιστικών αρχών, 

φορέων σχετικών με ασφάλεια και προστασία). 

Στο πνεύμα των παραπάνω διαπιστώσεων, η Ο.Ε. ενέταξε στη μεθοδολογία της δράση οργανωμενης 

διαβούλευσης με εμπειρογνώμονες, οι οποίοι είτε εμπλέκονται ex officio στο χώρο αυτό, είτε 

εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Οι πρωτοβουλίες/φάσεις αυτής της 

διαβούλευσης και τα κύρια αποτελέσματά τους παρουσιάζονται σύντομα στη συνέχεια. 

7.2 Πρωτοβουλίες Διαβούλευσης 

Η διαβούλευση που οργάνωσε η Ο.Ε. στα πλαίσια του παρόντος έργου διεξήχθη μέσα από τις ακόλουθες 

πέντε πρωτοβουλίες/φάσεις: 

Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση 

Για την αποτελεσματικότερη διεξαγωγή της διαβούλευσης στα στενά χρονικά πλαίσια του παρόντος 

έργου κρίθηκε αναγκαία η μεθοδική επιλογή των συμμετεχόντων σε αυτήν. Αρχικά προσδιορίστηκαν 

οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, στα πλαίσια της δράσης που αναλυτικότερα παρουσιάζεται 

στο Κεφάλαιο 5 του παρόντος. Για τις υποδομές αυτές εντοπίστηκαν τα εμπλεκόμενα μέρη 

των εξής κατηγοριών: 

Κ1. Πάροχοι δικτύων, υπηρεσιών, συστημάτων, εφαρμογών, προϊόντων προστασίας (π.χ. ΟΤΕ- 

ΟΤΕΝΕΤ για το ΣΥΖΕΥΞΙΣ, NEWSPHONE για τα ΟΠΣ-ΚΕΠ, ΣΕΠΕ ως ο σύνδεσμος των 

παρόχων εξοπλισμού πληροφορικής κλπ). 

Κ2. Χρήστες των υποδομών-πάροχοι υπηρεσιών ΔΔ (ΓΓΠΣ, άλλες Υπηρεσίες Υπουργείων, Νομαρχιακή 

Αυτοδιοίκηση κλπ). 



248



Κ3. Εποπτικές/Κανονιστικές/Ρυθμιστικές Αρχές (ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ, ΕΛΑΣ, όπως αναλυτικά 

παρουσιάζονται στο Κεφάλαιο 4 του παρόντος) 

Κ4. Άλλοι φορείς σχετιζόμενοι με ασφάλεια-προστασία. 

Στη συνέχεια, από τους παραπάνω εμπλεκόμενους εντοπίστηκαν πρόσωπα-κλειδιά για συνεργασία 

με την Ομάδα Εργασίαςς. Βεβαίως, στη σύνθεση της ομάδας εργασίας υπάρχει ήδη σημαντική εκπροσώπηση 

αρκετών από τους παραπάνω φορείς. 

Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων 

Στη φάση αυτή συντάχθηκαν ερωτηματολόγια με ερωτήσεις εξειδικευμένες για κάθε διακριτή κατηγορία 

εμπλεκόμενων φορέων. Συγκεκριμένα, διατυπώθηκαν τρία διαφορετικά ερωτηματολόγια 

και απεστάλησαν στους επιλεγέντες ανθρώπους-κλειδιά: 

• Ερωτηματολόγιο Ε1: Aπευθύνεται σε Παρόχους/Αναδόχους υποδομών και υπηρεσιών και στοχεύει 

στην σκιαγράφηση του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φορέων 

σε σχέση με την προστασία ΠΕΥ. 

• Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο 

είχε να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφάλειας 

αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματολογίων 

χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρισιμότητα 

των ΠΕΥ. 

• Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξαγάγει 

συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος. 

Φάση 3: Συλλογή και επεξεργασία των απαντήσεων 

Έγινε η συλλογή και επεξεργασία των απαντήσεων ώστε να διατυπωθούν νέα συμπεράσματα ως 

συνισταμένη των απόψεων που κατατέθηκαν (βλ. επόμενη παράγραφο). Η επεξεργασία των απαντήσεων 

και δημοσίευση των συμπερασμάτων έγινε με ανώνυμο τρόπο. 

Φάση 4: Διοργάνωση ημερίδας (workshop) 

Βλέπε σχετική παράγραφο στη συνέχεια. 

Φάση 5: Δημοσίευση/Κοινοποίηση συμπερασμάτων 

Κατά τη φάση αυτή θα κοινοποιηθούν τα συμπεράσματα της διαβούλευσης (μέσω και του παρόντος 

παραδοτέου) σε όλους όσοι έλαβαν μέρος στη διαβούλευση, αλλά και σε άλλους εμπλεκόμενους 

φορείς. Θα ανακοινωθούν, επίσης, τα κύρια συμπεράσματα σε επιλεγμένα δημόσια fora (π.χ. 

INFOSYSTEMS, ICT Forum κλπ.). 

7.3 Ερωτηματολόγια – συνοπτικά συμπεράσματα 

Στο Παράρτημα Α’ παρατίθενται τα τρία ερωτηματολόγια, όπως διατυπώθηκαν για τους φορείς 

των κατηγοριών Κ1, Κ2 και Κ3. Συγκεντρώθηκαν και αξιολογήθηκαν 6, 3 και 8 ερωτηματολόγια, 



249



αντίστοιχα. Από την επεξεργασία των απαντήσεων προκύπτουν τα παρακάτω συμπεράσματα 63 . 

7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1 

1. Η πλειοψηφία των οργανισμών δεν διαθέτει ένα σαφώς καθορισμένο οργανωτικό σχήμα διαχείρισης 

της Ασφάλειας Πληροφοριών (βλ. ερώτηση 1). Μόνο οι 2 από τους 6 ερωτηθέντες 

(33%) απάντησαν ότι έχει οριστεί οργανωτικό σχήμα. Από αυτούς: και οι δύο έχουν εκχωρήσει 

μερος δραστηριοτήτων σε άλλα άλλα τμήματα/διευθύνσεις του ίδιου οργανισμού, ενώ μόνον ο 

ένας έχει πλήρως ενσωματώσει τη Διαχείριση Ασφάλειας Πληροφοριών στη συνολική Διαχείριση 

Κινδύνων του οργανισμού. 

2. Σε σημαντικά θέματα ασφάλειας (βλ. ερώτηση 2) παρατηρείται μια επικέντρωση στον προληπτικό 

χαρακτήρα των μέτρων ασφάλειας που έχουν υιοθετηθεί. Μόνο 1 από τους 6 ερωτηθέντες 

αναφέρει ύπαρξη μέτρων κατασταλτικού χαρακτήρα σε αρκετές δραστηριότητες. 

3. Παρατηρείται μια έντονη δραστηριότητα σε θέματα κανονιστικής συμμόρφωσης (βλ. ερώτηση 

3), η οποία έχει ξεκινήσει τουλάχιστο ένα χρόνο πριν και θα συνεχισθεί τους επόμενους 12 μήνες. 

Τα θέματα ασφάλειας έχουν ενσωματωθεί, ως επί το πλείστον, σε αυτές τις προσπάθειες 

χωρίς να διατηρούν ένα αυτόνομο χαρακτήρα σαν ξεχωριστά έργα. Χαρακτηριστικό είναι ότι 

το 100% των ερωτηθέντων δηλώνουν ότι επηρεάζονται από το κανονιστικό πλαίσιο που σχετιζεται 

με την προστασία προσωπικών δεδομένων και την ιδιωτικότητα. 

4. Τα θέματα ασφάλειας που κυρίως απασχολούν τους ερωτηθέντες (βλ. ερώτηση 4) σχετίζονται 

με τις Εφαρμογές Διαδικτύου, τα Web Services και λιγότερο με τα φορητά αποθηκευτικά μέσα 

και τα ασύρματα δίκτυα, με την πλειοψηφία να τα αντιμετωπίζει είτε στην παρούσα χρονική 

στιγμή είτε σε ένα ορίζοντα 12 μηνών. Είναι χαρακτηριστικό ότι μέσα από 12 εφαρμογές, το 

100% των ερωτηθέντων απαντά ότι θεωρεί σημαντικές τις εφαρμογές διαδικτύου, ενώ σε όλα 

τα άλλα ζητήματα οι απαντήσεις είναι λίγες και διάσπαρτες. 

5. Ο έλεγχος του επιπέδου ασφάλειας του οργανισμού (βλ. ερώτηση 5) επιτυγχάνεται με ιδία 

μέσα είτε με Εσωτερικό ελέγχου είτε με διαδικασίες εσωτερικής αποτίμησης. 

6. Οι κυριότερες δραστηριότητες ασφάλειας (βλ. ερώτηση 6) σε βάση σπουδαιότητας είναι διάσπαρτες 

και ποικίλλουν από τη Συμμόρφωση, τη Συνέχεια Λειτουργιών έως τη φυσική και τη 

λογική ασφάλεια και την προμήθεια/ανάπτυξη/συντήρηση ΠΣ. Αντίστοιχα, οι πλέον χρονοβόρες 

δραστηριότητες είναι η Συνέχεια Λειτουργιών, η Συμμόρφωση και η προμήθεια/ανάπτυξη 

/συντήρηση ΠΣ. 

7. Στο επίπεδο του τρόπου αντιμετώπισης των θεμάτων ασφάλειας (βλ. ερώτηση 7), μόνο ένας 

στους 6 καλύπτει πλήρως και με τυπικό τρόπο (θεσμοθετημένο πλαίσιο, πολιτικές, διαδικασίες, 

κλπ.), ενώ 2 στους 6 (33%) καλύπτουν όλα τα θέματα με τυπικό τρόπο εκτός της σύγκλισης 

φυσικής και λογικής ασφάλειας. Η πλειονότητα των ερωτηθέντων καλύπτει τα θέματα ασφάλειας 

με ένα μικτό τρόπο, δηλ. με ένα συνδυασμό άτυπων και τυπικών πλαισίων και πρακτικών. 

8. Περί της συνεργασίας με τρίτα μέρη (βλ. ερώτηση 8), σχεδόν όλοι οι ερωτηθέντες απαιτούν 

ρητά από τους συνεργάτες να έχουν ορισμένες και εφαρμοσμένες πολιτικές και διαδικασίες α- 

σφάλειας και δυνατότητα ενσωμάτωσης των πολιτικών και διαδικασιών του οργανισμού του ε- 

ρωτηθέντος. Το 33% απαιτεί ανεξάρτητη εμπορική πιστοποίηση του τρίτου μέρους (πχ κατά 

ISO/IEC 27001), ενώ το 16% ενδεχόμενα λαμβάνει υπόψη αποτίμηση από ανεξάρτητη οντότητα 

με βάση βέλτιστες πρακτικές. 

9. Μόνο το 50% έχει διεξάγει μια άσκηση Αποτίμησης Επικινδυνότητας (βλ. ερώτηση 9), ενώ 

63 Δεδομένης της μεθοδολογίας που ακολουθήθηκε, καθώς και της σύνθεσης του δείγματος, τα εξαχθέντα συμπεράσματα 

είναι μεν ενδεικτικά τάσεων, αλλά δεν μπορούν να θεωρηθούν αντιπροσωπευτικά του αναλυόμενου 

πληθυσμού, ούτε ασφαλώς γενικεύσιμα. 



250



από αυτούς που απάντησαν θετικά, κατά την Άσκηση έχουν καλυφθεί όλοι οι βασικοί τομείς 

και απαιτήσεις. 

10. Η συχνότητα ενημέρωσης σε θέματα ασφάλειας (βλ. ερώτηση 10), ποικίλλει ανάλογα με τον α- 

ποδέκτη της ενημέρωσης: οι ερωτηθέντες που έχουν θεσμοθετημένο πλαίσιο διαχείρισης ασφάλειας, 

τείνουν να ενημερώνουν τους υπεύθυνους τμημάτων/διοικητικών μονάδων κάθε μήνα, 

ενώ την Εκτελεστική Διοίκηση ανά 1-2 μήνες. 

11. Τα κυρίαρχο πρότυπο ασφάλειας και διαχείρισης κινδύνων (βλ. ερώτηση 12) είναι το ITIL (με 

τις αντίστοιχες αιτιάσεις του σε θέματα ασφάλειας) σε ποσοστό 33%, ενώ το 16% (ο ίδιος 

οργανισμός που έχει υιοθετήσει το ITIL) εφαρμόζει και το ISO/IEC 27001. Η πλειοψηφία των 

ερωτηθέντων δεν εφαρμόζει κάποιο τυπικό πλαίσιο. 

12. Θέματα φυσικής πρόσβασης (βλ. ερώτηση 13) αντιμετωπίζονται με απλές κάρτες πρόσβασης 

(100%), ενώ μόνο 1 στους 6 χρησιμοποιεί κάποιο σύστημα αυθεντικοποίησης. Το 66% έχει τη 

δυνατότητα ενοποιημένης παρακολούθησης των προσπαθειών φυσικής και λογικής πρόσβασης 

από μια κονσόλα. 

13. Μόνο ένας από τους ερωτηθέντες δεν διαθέτει τυπικό Σχέδιο Διαχείρισης Συνέχειας Λειτουργιών 

(βλ. ερώτηση 15), ενώ το 84% των ερωτηθέντων έχουν αναπτύξει ένα Πλάνο Συνέχειας 

Λειτουργιών κάποιας μορφής. 

14. Μόνο ένας στους 6 έχει προβλέψει μείζονες κρίσεις (όχι απαραίτητα σε επίπεδο ΠΣ), το 33% 

θεωρεί ότι καλύπτεται από τα υπάρχοντα πλάνα συνέχειας ενώ το 50% δεν έχει λάβει υπόψη 

του καθόλου τέτοια περιστατικά. 

15. Μόνο ένας στους 6 έχει ελέγξει (ή εφαρμόσει) το Πλάνο Συνέχειας Λειτουργιών στα τελευταία 

2 έτη, ενώ το 66% δεν το έχει ελέγξει (ή εφαρμόσει) ποτέ. 

16. Υπάρχει μια γενική ανεπάρκεια πρόβλεψης/ενσωμάτωσης των δράσεων που αναφέρονται σε 

παράπλευρες (όχι τεχνικά κύριες) δραστηριότητες που σχετίζονται με τα Σχέδια Ανάκαμψης 

από Καταστροφή (Disaster Recovery Plan, DRP), ενώ το 50% ελέγχει τα Σχέδια με επαρκή συχνότητα 

προκειμένου να βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού 

(τεχνολογίες, προσωπικό και εγκαταστάσεις). 

17. Η μεγάλη πλειονότητα των ερωτηθέντων δίνει μεγάλη σημασία στα SLA (εδώ έρχεται σε αντίθεση 

η απάντηση παραπάνω ότι «μόνο το 33% έχει ρητά ορίσει τους χρόνους ανάκαμψης στα 

SLA», ενώ στην ειδική για τα SLA ερώτηση φαίνεται ότι το 84% έχει προχωρήσει σε «Ορισμό 

ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας (διαθεσιμότητα, 

απόδοση, χρόνοι απόκρισης κλπ.)». 


Οι απαντήσεις προέρχονται από τρεις μόνο φορείς, όμως αφορούν συστήματα μεγάλης βαρύτητας, 

τόσο σε γεωγραφική έκταση, όσο και σε αριθμό χρηστών. 

18. Σχεδόν στο σύνολό τους οι προσφερόμενες υπηρεσίες βρίσκονται σε πολύ υψηλό επίπεδο εξέλιξης 

(διεκπεραίωση αιτημάτων/συναλλαγών/πληρωμής). 

19. Στο σύνολο των εξεταζόμενων υπηρεσιών, ο αριθμός των εξυπηρετούμενων χρηστών είναι πολύ 

υψηλός, (από εκατοντάδες χιλιάδες, μέχρι εκατομμύρια χρήστες). 

20. Οι παρεχόμενες υπηρεσίες εξαρτώνται σε μεγάλο βαθμό από άλλα ΟΠΣ ή υποδομές, κυρίως ε- 

σωτερικές του οργανισμού, αλλά σε κάποιες περιπτώσεις και εξωτερικές. Σε κάποιες περιπτώσεις, 

όπου οι υποδομές παρέχονται και από παρόχους του ιδιωτικού τομέα, αυτές αφορούν υπηρεσίες 

δικτύωσης. 

21. Αναφορικά με το υφιστάμενο επίπεδο ασφάλειας, σε όλους τους υπό εξέταση οργανισμούς έχει 

συνταχθεί (ή βρίσκεται σε διαδικασία σύνταξης/αναθεώρησης) Πολιτική Ασφάλειας και σε κά- 



251



ποιους μελέτη επικινδυνότητας. Όμως, τα μέτρα ασφάλειας που προβλέπονται δεν είναι πλήρως 

υλοποιημένα. 

22. Σχετικά με τις υπηρεσίες που παρέχονται μέσω τρίτου φορέα: Στη μία περίπτωση αφορά μόνο 

την υποδομή ΣΥΖΕΥΞΙΣ, στην δεύτερη περίπτωση που παρέχονται διάφορες υπηρεσίες μέσω 

τρίτων, στα έργα που προκηρυχθήκαν από την ΚτΠ, πολλά θέματα ασφάλειας ή SLA 

αφήνονται στον Σύμβουλο Τεχνικής Υποστήριξης και την ΚτΠ, γεγονός που δεν οδηγεί σε ευαισθητοποίηση-ωρίμανση 

των ζητημάτων ασφάλειας στον ίδιο τον οργανισμό και στις περιπτώσεις 

που υπάρχουν SLAs, αναφέρθηκαν ελλείψεις. Και οι τρεις οργανισμοί δήλωσαν ότι 

υπάγονται (άμεσα ή έμμεσα) στην ελεγκτική αρμοδιότητα των Ανεξάρτητων/Ρυθμιστικών Αρχών 

(ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ), παράγοντας που πρέπει να ληφθεί υπόψη στο σχεδιασμό του οργανωτικού 

σχήματος. 

23. Σχετικά με τις πιθανές επιπτώσεις, παρατηρήθηκαν τα ακόλουθα: (α) Δεν καταγράφηκαν πιθανές 

επιπτώσεις ανθρώπινων απωλειών, (β) Η μη λειτουργία των υποδομών θα επηρέαζε πολύ 

μεγάλο αριθμό χρηστών και σε μεγάλη γεωγραφική έκταση, (γ) Δύο από τους τρεις φορείς αξιολογούν 

ως πολύ σημαντική επίπτωση την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕ. 

Ως αρκετά σημαντικές αξιολογούνται και οι πιθανές επιπτώσεις στην ιδιωτικότητα των χρηστών 

(αποκάλυψη προσωπικών δεδομένων κλπ.). Το κόστος ανάκαμψης και η οικονομική επίπτωση 

παρουσιάζει μεγάλη διακύμανση ανά ΟΠΣ/υποδομή. Οι επιπτώσεις ως προς την αντίδραση 

της κοινής γνώμης και την εφαρμογή πολιτικής και λειτουργίαs της Δημόσιας Διοίκησης 

βρίσκονται σε μέτριο επίπεδο. 


1. Πολλές Δημόσιες Υπηρεσίες έχουν αναλάβει αρμοδιότητες σχετικές με την ασφάλεια. Θα πρέπει 

να οριοθετηθούν αυτές οι αρμοδιότητες ώστε να μη υπάρχουν επικαλύψεις. Να δημιουργηθούν 

συνέργειες και να ανοιχτούν κανάλια επικοινωνίας ώστε να δημιουργηθεί μια ενιαία πολιτική 

στα τόσα σημαντικά θέματα όπως είναι η ασφάλεια και η ιδιωτικότητα. Συγκεκριμένα παραδείγματα 

συνεργιών έχουν προταθεί μεταξύ των φορέων: ΕΛΑΣ, ΑΠΠΔ, ΑΔΑΕ, ΕΕΤΤ, 

ΓΕΕΘΑ κλπ. 

2. Η ΕΥΠ λειτουργεί ως: (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως υπεύθυνη 

του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινωνιών και των 

Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του Διαβαθμισμένου 

Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστική πλαισίωση του εθνικού 

μας CERT προτείνεται να γίνει με τη συνεργασία και άλλων φορέων. 

3. H συνεργασία με αντίστοιχες ερευνητικές ομάδες ΑΕΙ είναι αναγκαία, διότι οι ομάδες αυτές 

βρίσκονται στην αιχμή της έρευνας. 

4. Έλεγχος της αναλογικότητας των μέτρων που λαμβάνονται από τους Οργανισμούς σχετικά με 

την προστασία προσωπικών δεδομένων που διατηρούν προβλέπονται από το Ν. 2472/97 περί 

προστασίας δεδομένων προσωπικού χαρακτήρα. Η ΑΠΠΔ εξετάζει τις πολιτικές ασφάλειας για 

να εκτιμήσει τον κίνδυνο, από πλευράς ασφάλειας, της ιδιωτικότητας των δεδομένων. Στην 

προστασία κρίσιμων υποδομών ο στόχος πρέπει να είναι ο υπολογισμός του κινδύνου μιας κρίσιμης 

υποδομής σε περίπτωση καταστροφής. 

5. Η διασφάλιση της ιδιωτικότητας εστιάζει στην εμπιστευτικότητα των στοιχείων ενώ η προστασία 

των υποδομών στην διαθεσιμότητα. Επομένως θα πρέπει να δημιουργηθεί μια καινούργια 

οντότητα υπεύθυνη για τις κρίσιμες υποδομές της δημόσιας διοίκησης που να εξετάζει τις πολιτικές 

ασφάλειας ως προς την διαθεσιμότητα των υποδομών. Οι βάσεις δεδομένων της ΑΔΑΕ, 

ΑΠΠΔ και οποιοδήποτε άλλου φορέα που αποθηκεύει πολιτικές ασφάλειας θα πρέπει να είναι 

άμεσα προσβάσιμες και από τη καινούργια οντότητα ώστε να γίνεται ο έλεγχος από πλευράς 



252



διαθεσιμότητας. 

6. Οι Αρχές θα πρέπει να ενοποιήσουν την δομή της πολιτικής ασφάλειας, έτσι ώστε να μπορούν 

να εξετασθούν όλες οι συνιστώσες (ιδιωτικότητα, διαθεσιμότητα, ακεραιότητα, αυθεντικότητα, 

ασφαλής πρόσβαση κλπ.) σύμφωνα με το πρότυπο ISO 27002, έτσι ώστε οι οργανισμοί να μην 

χρειάζεται να υποβάλλουν διαφορετικές πολιτικές ασφάλειας σε κάθε Αρχή. Με άλλα λόγια να 

δημιουργηθεί ένα κοινόχρηστο σύστημα ελέγχου πολιτικών ασφάλειας και ιδιωτικότητας με 

ασφαλή τρόπο πρόσβασης. 

7.4 Ημερίδα διαβούλευσης 

7.4.1 Σκοπός και διάρθρωση 

Σκοπός της ημερίδας ήταν η ζωντανή ανταλλαγή απόψεων και εμπειριών επί θεμάτων προστασίας 

των κρίσιμων ΠΕΥ με τους ανθρώπους που επελέγησαν για επαφή και συνεργασία, με έναν αμφίδρομο 

στόχο, δηλαδή αφενός την υποβοήθηση της Ο.Ε. στη διαμόρφωση των προτάσεών της για 

το ενδεδειγμένο οργανωτικό σχήμα προστασίας των ΠΕΥ ΔΔ και αφετέρου τη διάχυση των θέσεων 

και απόψεων της Ο.Ε. προς τους εμπλεκόμενους φορείς. 

Η ημερίδα έλαβε χώρα στις 10/7/2008 στις εγκαταστάσεις της ΚτΠ Α.Ε. και διαρθρώθηκε σε τρία 

μέρη (βλ. Παράρτημα Β, Πρόγραμμα Ημερίδας): 

Μέρος 1 ο : Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και 

εποπτικοί φορείς στην Ελλάδα και διεθνώς 

Μέρος 2 ο : Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητηματα 


Μέρος 3 ο : Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας 

Διοίκησης στην Ελλάδα 

Στο πρώτο μέρος έγινε σύντομη αναφορά σε οργανωτικά σχήματα από τη διεθνή εμπειρία, επιφορτισμένα 

με το ρόλο της προστασίας των κρίσιμων ΠΕΥ. Έγινε επίσης αναφορά σε εποπτικούς 

φορείς στην Ελλάδα σχετιζόμενους με την ασφάλεια των ΠΕΥ. Διατυπώθηκαν σχετικά ερωτήματα 

και ακολούθησε συζήτηση. 

Στο δεύτερο μέρος παρουσιάστηκαν, σύντομα και πάλι, υπηρεσίες και υποδομές ηλεκτρονικής 

διακυβέρνησης στην Ελλάδα και διατυπωθηκαν γενικά ζητήματα ασφάλειας. 

Τέλος, στο τρίτο μέρος αναζητήθηκαν προτάσεις για την προστασία των θεωρούμενων κρίσιμων 

ΠΕΥ της ΔΔ στην Ελλάδα. 

7.4.2 Επί μέρους θέματα συζήτησης 

Μεταξύ των θεμάτων που συζητήθηκαν κατά την ημερίδα ήταν και τα εξής: 

1. Υπάρχουν ρυθμιστικοί/εποπτικοί φορείς για ορισμένες συνιστώσες της ασφάλειας των Πληροφοριακών-Επικοινωνιακών 

Υποδομών (προστασία προσωπικών δεδομένων, απόρρητο των 

επικοινωνιών, ηλεκτρονικό έγκλημα, διαθεσιμότητα δημόσιων δικτύων επικοινωνίας, ασφάλεια 

διαβαθμισμένης πληροφορίας σε θέματα εθνικής σημασίας). Δεν καλύπτουν, ωστόσο, την 

προστασία υποδομών και περιεχομένου στο σύνολό της, όπως, για παράδειγμα, τη διαθεσιμότητα 

υποδομών και υπηρεσιών σε καθημερινές συναλλαγές του πολίτη και των επιχειρήσεων 

με τη δημόσια διοίκηση (ΚΕΠ, ΣΥΖΕΥΞΙΣ, Data Centers). Ανακύπτουν τα ερωτήματα: 



253



• Ποιό νέο σχήμα θα μπορούσε να καλύψει το κενό; Με ποιά νομική υπόσταση, ποιά οργανωτική 

δομή και ποιές αρμοδιότητες; 

• Αρκεί μια δράση τύπου CERT (ενημέρωση, υποστήριξη μετά από αίτημα, ανάλυση περιστατικών 

κλπ.) ή απαιτείται και εποπτεία/έλεγχος (τύπου ΑΔΑΕ, ΕΕΤΤ) 

• Πώς μπορούν να εμπλακούν στο θέμα αυτό οι υπάρχουσες αρχές; 

• Θα πρέπει να συνδεθεί με το θέμα της γενικότερης (και φυσικής) προστασίας των υποδομών 

(προσέγγιση all hazards); 

2. Δεδομένου ότι οι ΠΕΥ ΔΔ αναπτύσσονται κατά μεγάλο μέρος (και θα συνεχίσουν να συντηρούνται 

και στο μέλλον) από ιδιωτικές εταιρίες, ποιός ο ρόλος και ποιές οι δεσμεύσεις του 

ιδιωτικού τομέα στα πλαίσια μιας τέτοιας πρωτοβουλίας; 

3. Οι περισσότεροι οργανισμοί/φορείς που φυλάσσουν/επεξεργάζονται προσωπικά δεδομένα 

υποβάλλουν Πολιτική Ασφάλειας στην ΑΠΠΔ. Τίθενται, σχετικά, τα ερωτήματα: 

• Υποχρεούνται να υποβάλλουν την πολιτική ασφάλειας και αλλού; Την ίδια; 

• Επαρκεί αυτή για την προστασία γενικότερα (μη διαθεσιμότητα κλπ); 

7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα 

Μεταξύ των συμπερασμάτων της ημερίδας διαβούλευσης σταχυολογούνται τα εξής σημαντικότερα: 

1. Δεν υπάρχει, πράγματι, φορέας (εποπτικός/κανονιστικός/ρυθμιστικός) ο οποίος να καλύπτει 

συνολικά και συστηματικά την προστασία ΠΕΥ και υπηρεσιών προς τους πολίτες στις καθημερινές 

τους συναλλαγές με τη Διοίκηση (κεντρική ή περιφερειακή). Ένα νέο σχήμα θα ήταν 

χρήσιμο, αν όχι απαραίτητο. 

2. Διαπιστώθηκε η ελλιπής εφαρμογή προτύπων από οργανισμούς, αλλά και η εν πολλοίς απουσία 

έγκριτων πιστοποιημένων συμβούλων στην Ελλάδα. Το γεγονός αυτό αντανακλάται στην 

ποιότητα των μέτρων και πολιτικών για την ασφάλεια και την προστασία των ΠΕΥ. 

3. Το νέο σχήμα δεν θα πρέπει να είναι ανεξάρτητη αρχή, ούτε να υποκαθιστά ή να επικαλύπτει 

τις ήδη υπάρχουσες αρχές στο ρόλο τους. Θα πρέπει να διαθέτει διεπαφές συνεργασίας με τις 

αρχές αυτές, στις οποίες και θα παραπέμπει θέματα αρμοδιότητάς τους. 

4. Το νέο σχήμα δεν θα ήταν σκόπιμο να υπαχθεί σε υπάρχουσες δομές και υπηρεσίες με αρμοδιότητα 

επί θεμάτων εθνικής ασφάλειας και προστασίας διαβαθμισμένης πληροφορίας. Δεν θα 

ήταν, επίσης, ευέλικτο, αν υπάγονταν στις υπηρεσίες γενικότερης προστασίας των υποδομών 

από φυσικές ή άλλες καταστροφές (προσέγγιση all hazards). Αντίθετα, σε πρώτη φάση θάταν 

καλό να επικεντρωθεί σε θέματα soft criticality των ΠΕΥ και ειδικότερα αυτών που σχετιζονται 

με τη Δημόσια Διοίκηση. 

5. Διαπίστωση της Ο.Ε. είναι ότι η κρισιμότητα των ΠΕΥ εμφανίζει διαβαθμίσεις στη Δημόσια 

Διοίκηση. Μια ενδεικτική προτεινόμενη διαβάθμιση είναι η εξής: 

• Κρισιμότητα επιπέδου 1: Βασικές ΠΕΥ Δημόσιας Διοίκησης (υποδομές ενέργειας, ύδρευσης, 

τηλεπικοινωνιών, μεταφορών κ.ά.) που παρέχουν παραδοσιακές υπηρεσίες απαραίτητες 

για την καθημερινή ζωή των πολιτών. 



254



• Κρισιμότητα επιπέδου 2: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη 

διευκόλυνση οργανισμών μεταξύ τους σε εθνικό, ευρωπαικό και παγκόσμιο επίπεδο. 

• Κρισιμότητα επιπέδου 3: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη 

διευκόλυνση πολιτών (όχι μόνο εθνικά αλλά σε ευρωπαϊκό και παγκόσμιο επίπεδο) στις 

συναλλαγές τους με το κράτος. 

• Κρισιμότητα επιπέδου 4: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για την ε- 

νημέρωση των πολιτών ως προς τις δραστηριότητες του οργανισμού. 

6. Θα πρέπει να μελετηθεί αρμοδίως η νομική υπόσταση του νέου σχήματος και η υπαγωγή του 

σε φορέα της κεντρικής διοίκησης, δεδομένου ότι θα καλύπτει περιοχές αρμοδιότητας διαφόρων 

Υπουργείων (ΥΜΕ και ΥΠΕΣ, κατ’ ελάχιστον). Ίσως θα πρέπει να εξετασθεί η δυνατοτητα 

αρχικής λειτουργίας του στα πλαίσια κάποιας υπάρχουσας υπηρεσίας, έως ότου ωριμάσει η 

ευρεία αποδοχή και οριστική θεσμοθέτησή του. 

7. Noμικές διατάξεις και αυστηρά σκληρά οργανωτικά σχήματα δεν βοηθούν την προστασία των 

υποδομών. Τροποποιήσεις στο υπάρχον νομοθετικό πλαίσιο ώστε να ικανοποιούνται και οι α- 

νάγκες για την ασφάλεια, ιδιωτικότητα και προστασία υποδομών είναι απαραίτητες αλλά καταλυτική 

είναι η συνεργασία μεταξύ των εμπειρογνωμόνων, τα κανάλια επικοινωνίας και συνεργασίας 

με σχετικές ομάδες εργασίας και η οργανωμένη ανταλλαγή πληροφοριών. 

8. Η συμμετοχή και ο ρόλος του ιδιωτικού τομέα μπορεί να είναι αξιόλογος, κατά το μοντέλο public-private 

partnership (ppp) που προωθείται διεθνώς. Θα πρέπει, ωστόσο, να δοθούν κίνητρα 

στις ιδιωτικές εταιρίες, προκειμένου να ενσωματώσουν στο σχεδιασμό και τη δράση τους θέματα 

ασφάλειας και προστασίας και να αναπτύξουν σχετικούς κώδικες επιχειρηματικής δράσης 

και δεοντολογίας. 



255



8 

Συμπεράσματα - Προτάσεις 



256



8. Συμπεράσματα - Προτάσεις 

8.1 Κωδικοποίηση συμπερασμάτων και προτάσεων 

Με βάση: 

(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνικής 

Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκληθούν, 

(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδιασθεί 

και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών, 

(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης, 

καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals), 

(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής 

Δημόσιας Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ, 

προτείνεται στη συνέχεια, με κωδικοποιημένο τρόπο, μια σειρά ιεραρχημένων παρεμβάσεων για 

την προστασία των κρίσιμων ΠΕΥ της ελληνικής ΔΔ. 

Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφορά 

θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση 

αρμόδιων κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλαδή 

παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκησης, 

είτε μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ). 

Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό 

τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Ε- 

πιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και 

“Ψηφιακή Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρηματοδότηση 

από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επενδύσεων 

κλπ.). 

Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής: 

1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφοριακών 


Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το οργανωτικό 

σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα 

αρμόδια κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του 

e-Government Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα 

διαδικασία. 

2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών 

Υποδομών 

Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστιτούτο 

θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστήριξη 

του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνωμόνων 

και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο 

λειτουργικό σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική 



257



τεχνογνωσία), η συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρακτήρα, 

στον οποίο ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, ό- 

σο για λόγους χρηματοδότησης, το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του 

διαδόχου του Επιχειρησιακού Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελματική 

Κατάρτιση), καθώς και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνολογίας). 

3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε. 

Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις 

της εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυξηθεί 

στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά 

λόγω της εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών α- 

σφάλειας που εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι 

αμιγώς διαχειριστικός και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους 

του Επιχειρησιακού Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”). 

4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών 

Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτεραιότητας. 

Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης 

όλων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώρας, 

με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ο- 

λοένα και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός 

και η χρηματοδότησή του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμματος 

“Διοικητική Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”). 

5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών 


Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτήρα. 

Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να 

βασίζεται σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υποδομής 

αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επιλεγεί. 

Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής 

μπορεί να γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχήματος 

το οποίο θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό 

που κατά κανόνα παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργίας 

του. Πρόκειται, προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτιμάται 

ότι μπορεί ευλόγως να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή 

Σύγκλιση”. 



258



8.2 Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ 

Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται στο συνοπτικό πίνακα που ακολουθεί 

στη συνέχεια. 

ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ 

ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα 

Ίδρυση Φορέα/Υπηρεσίας Προστασίας 

Κρίσιμων Πληροφοριακών 





(εισήγηση Συμβουλίου 


Υψηλή 

Κρατικός προϋπολογισμός 

Ίδρυση Ερευνητικού 

Ινστιτούτου Προστασίας 

Κρίσιμων Πληροφοριακών και 

Επικοινωνιακών Υποδομών 


(πρόταση Συμβουλίου 


Υψηλή 

Ε.Π. Υπουργείου Παιδείας 

Ε.Π. Υπουργείου 

Ανάπτυξης (Γενική 

Γραμματεία Έρευνας και 

Τεχνολογίας) 

Ασφάλεια Πολυκέντρου 

Δεδομένων της Κοινωνίας της 

Πληροφορίας Α.Ε. 



Πολύ υψηλή 

Ε.Π. Κοινωνία της 

Πληροφορίας 


Εντοπισμός Κρίσιμων 

Ελληνικών Υποδομών 



Υψηλή 

Ε.Π. Διοικητική 

Μεταρρύθμιση 


Τεχνολογική υποδομή Φορέα 

Προστασίας Κρίσιμων Πληροφοριακών 






Υψηλή 




259



# 

Βιβλιογραφία 



260



Βιβλιογραφία 

[Abe-06] 

[Ada-05] 

[AFC-06] 

Abele-Wigert I., Dunn M. (Eds.), International CICIP Handbook 2006, Vol. I: An Inventory 

of 20 National and 6 International Critical Infrastructure Protection Policies, 

Center for Security Studies, ETH Zurich, 2006. 

Adar E., Wuchner A., “Risk Management for Critical Infrastructure Protection Challenges, 

Best Practices and Tools”, in Proc. of the 1 st IEEE International Workshop on 

Critical Infrastructure Protection (IWCIP ‘05), pp. 90-100, 2005. 

Austrian Federal Chancellery, eGovernment for all Europeans: Overview of Recommendations, 

Seminar organized by the Greek Presidency of the EU Council 2006, 

Vienna, 10 February 2006. 

[AUS-06] e-Security National Agenda, Australia, 2001 and 2006. 

[Bai-07] 

[Bez-05] 

[Βερ-07] 

[Bia-06] 

[BMI-ΧΧ] 

[BMI-02] 

[BMI-04] 

[BMI-04] 

[BMI-05] 

[BMI-05a] 

[BMI-05b] 

Bailey L., The Challenging Landscape of Critical Information Infrastructure: Are We 

Ready?, Computer Crime and Intellectual Property Section, US Dept. of Justice, USA, 

March 2007. 

Bezerra E., Nakamura E., Riberio R., “Critical Telecommunications Infrastructure Protection 

in Brazil”, in Proc. of the 1 st IEEE International Workshop on Critical Infrastructure 

Protection (IWCIP ‘05), pp. 62-74, 2005. 

Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης 

στην Ελλάδα, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 

2007. 

Bialas, A., “Information Security Systems vs. Critical Information Infrastructure Protection 

Systems – Similarities and Differences”, in Proc. of the International Conference 

on Dependability of Computer Systems, pp. 60-67, Poland, May 2006. 

Federal Ministry of Interior, Critical Infrastructure Protection Activities in Germany, 

Federal Office for Information Security, KRITIS/BSI, Germany. 

Federal Ministry of Interior, e-Government Manual, Federal Office for Information 

Security, Germany. 

Federal Ministry of Interior, Analysis of Critical Infrastructures - The ACIS methodology, 

Federal Office for Information Security, KRITIS/BSI, Germany, April 2004. 

Federal Ministry of Interior, Federal Office for Information Security, Critical Infrastructure 

Protection: Survey of World-Wide Activities, KRITIS/BSI, Germany, April 2004. 

National Plan for Information Infrastructure Protection (NPSI), Federal Ministry of 

Interior (BMI), Germany, 2005. 

Federal Ministry of Interior, Federal Office for Information Security, National Plan for 

Information Infrastructure Protection, Berlin, Germany, 2005. 

Federal Ministry of Interior, Introduction to Critical Infrastructure Protection, Federal 

Office for Information Security, BSI/KRITIS, Germany, 2005. 



261



[BSI-04a] 

[BSI-04b] 

[BSI-05a] 

[BSI-05b] 

[Γκρ-04] 

[Γκρ-07] 

[Γκρ-08] 

[Cav-07] 

[Cav-07] 

[CIAO-98] 

[CICIP-04] 

[CICIP-04] 

[CRA-05] 

[Cuk-05] 

[Cuk-05] 

[Czi-07] 

Critical Infrastructure Protection: Survey of World-Wide Activities, Federal Office for 

Information Security (BSI) Germany, Task Force for Critical Infrastructure Protection 

(PG KRITIS), April 2004. 

Critical Infrastructure Protection: Activities in Germany, Federal Office for Information 

Security (BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRI- 

TIS), April 2004. 

Introduction to Critical Infrastructure Protection, Federal Office for Information Security 

(BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), 

2005. 

Critical Infrastructure Protection in Germany, Federal Office for Information Security 

(BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), 2005. 

Γκρίτζαλης Δ., “Ασφάλεια Πληροφοριακών Συστημάτων και Υποδομών: Εννοιολογική 

θεμελίωση”, στο Κάτσικας Σ., κ.ά., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις 

Νέων Τεχνολογιών, σελ. 19-54, Αθήνα, 2004. 

Γκρίτζαλης Δ., Από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσιμων 

πληροφοριακών υποδομών, 9 ο Ελληνικό ICT Forum, Αθήνα, Οκτώβρης 2007. 

Γκρίτζαλης Δ., Στοχεύαμε Ασφάλεια Πληροφοριακών Συστημάτων - Στοχεύουμε Προστασία 

Κρίσιμων Πληροφοριακών Υποδομών, Ημερίδα Αρχής Διασφάλισης Απορρήτου 

Επικοινωνιών (ΑΔΑΕ), Θεσσαλονίκη, Απρίλης 2008. 

Cavelty M., Critical Information Infrastructure: Vulnerabilities, Threats and Responses, 

Disarmament Forum, 2007. 

Cavelty M.D., Critical Information Infrastructure: Vulnerabilities, Threats and Responses, 

Disarmament Forum, 2007. 

Vulnerability Assessment Framework (ver. 1.1), US Critical Infrastructure Assurance 

Office, KPMG, USA, 1998. 

International CICIP Handbook, Analysis of Methods and Models for CII Assessment, 

2004. 

International CICIP Handbook, Analysis of Methods and Models for CII Assessment, 

2004. 

Cyber infrastructure for Education and Learning for the Future: A Vision and Research 

Agenda, Computer Research Association, USA, 2005. 

Cukier K., Ensuring (and Insuring?) Critical Information Infrastructure Protection, 

Report of the 2005 Rueschlikon Conference on Information Policy in the New Economy, 

Swiss Reference Centre for Global Dialogue, USA, 2005. 

Cukier K., Mayer-Schönberger V., Branscomb L., “Ensuring (and Insuring?) Critical 

Information Infrastructure Protection”, Working Papers Series, RWP05 -055, Harvard 

University, USA, October 2005. 

Cziner K., Mutafungwa E., Lucenius J., Järvinen R., Critical Information Infrastructure 

Protection in the Baltic Sea Area: The Case of TETRA, Working Paper 2007:6, 

Helsinki University of Technology. 



262



[DoD-07] 

[Dun-06] 

[EC-03] 

[EC-04] 

[EC-05] 

[EC-06a] 

[EC-06b] 

[Ega-07] 

[Eke-06] 

[EMA-03] 

[EMA-03] 

US Dept. of Defense, Critical Homeland Infrastructure Protection, Report of the Defense 

Science Board Task Force, USA, January 2007. 

Dunn M., et al. (Eds.), International CICIP Handbook 2006, Vol. II, Analyzing Issues, 

Challenges and Prospects, Center for Security Studies, ETH Zurich, 2006. 

Commission of the European Communities, Proposal for a Regulation of the European 

Parliament and of the Council: Establishing the European Network and Information 

Security Agency, COM(2003)63 final, Brussels, 2003. 

Commission of the European Communities, Critical Infrastructure Protection in the 

Fight against Terrorism, Brussels, October 2004, COM(2004)702 final. 

Commission of the European Communities, Green Paper on a European Programme 

for Critical Infrastructure Protection, Brussels, November 2005, COM(2005)576 final. 

Commission of the European Communities, Proposal for a Directive of the Council on 

the identification and designation of European Critical Infrastructure and the assessment 

of the need to improve their protection, COM(2006)787 final, Brussels, 2006. 

Commission of the European Communities, A European Programme for Critical Infrastructure 

Protection, Brussels, December 2006, COM(2006)786 final. 

Egan M., “Anticipating Future Vulnerability: Defining Characteristics of Increasingly 

Critical Infrastructure-like Systems”, Journal of Contingencies and Crisis Management, 

Vol. 15, No. 1, pp. 4-17, March 2007. 

Ekengren M., Matzen N., Svantesson M., The new Security Role of the European Union: 

Transectional Crisis Management and the Protection of Union Citizens, National 

Defense Council, Sweden, March 2006. 

Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emergency 

Management Australia, January 2003. 

Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emergency 

Management Australia, January 2003. 

[ENISA-07] A Collection of Good Practice for CERT Quality Assurance, Deliverable WP2007/ 

2.4.9 (CERT-D3), 2007 (www.enisa.europa.eu/cert_goodPractices/pages/04_02.htm). 

[EU-05] 

[Ham-05] 

[Hen-04] 

[HSC-07] 

Green Paper on a European Programme for Critical Infrastructure Protection, Commission 

of the European Communities, COM(2005) 576 final, Brussels, November 17, 

2005. 

Hammerli B., “C(I)IP Task Description and a Proposal for a Substitute of National C(I) 

IP Policies”, in Proc. of the 1 st IEEE International Workshop on Critical Infrastructure 

Protection (IWCIP ‘05), pp. 51-61, 2005. 

Henauer M., “Critical Information Infrastructure Protection: A Swiss Approach”, in 

Proc. of the Workshop on Critical Infrastructure Protection and Civil Emergency Planning: 

Dependable Structures, Cybersecurity and Common Standards, Centre for International 

Security Policy, Bern, 2004. 

National Strategy for Homeland Security, Homeland Security Council, USA, October 

2007. 



263



[IBM-01] 

[ICS-02] 

[IRGC-07] 

IBM, Creating an infrastructure for e-Government: enabling government innovation, 

IBM Public Sector, September 2001. 

Information and Communication Sector, National Strategy for Critical Infrastructure 

and Cyberspace Security, USA, May 2002. 

International Risk Governance Council, Managing and reducing social vulnerabilities 

from coupled critical infrastructures, IRGC White Paper, Geneva, 2007. 

[ISO-13335] Information technology - Security techniques - Management of information and communications 

technology security, Part 1: Concepts and models for IκαιCT security management, 

ISO/IEC 13335-1:2004, ISO, 2004. 

[ISO-13335] Information technology - Security techniques - Management of information and communications 

technology security, Part 1: Concepts and models for information and 

communications technology security management, ISO/IEC 13335-1:2004, ISO, 2004. 

[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/ IEC Guide 73: 

2002, ISO, 2002. 

[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/IEC Guide 73: 

2002, ISO, 2002. 

[IST-08] 

[Kro-06] 

[Lui-06] 

[Mal-97] 

IST, CI 2 RCO, Critical Information Infrastructure Research co-ordination, ICT RκαιD 

for CICIP: Towards a European Research Agenda, Deliverable D12, The CI 2 RCO 

Consortium, May 2008. 

Kröger W., Critical Infrastructures at Risk: A Need for a New Conceptual Approach 

and Extended Analytical Tools, Swiss Federal Institute of Technology Zurich (ETH), 

Lisbon, September 2006. 

Luiijf E., Threat Taxonomy for Critical Infrastructures and Critical Infrastructure: 

Risk Aspects at EU-level, Vital Infrastructures Threats and Assurance (VITA) Project 

(PASR-2004-004400), Deliverable D1.2, July 2006. 

Malpass K., Harrington K., Elliott D., Soo Hoo K., Goodman S., Workshop on Protecting 

and Assuring Critical National Infrastructure, Center for International Security 

and Arms Control, Stanford University, March 1997. 

[Mcaf-07] McAfee North America Criminology Report, Organized crime and the Internet 2007”, 

www.mcafee.com/us/local_content/reports/mcafee_criminology_report2007_en.pdf 

[NCIA-04] National Critical Infrastructure Assurance Program, Canada, 2004. 

[NIAC-04] 

[NIPC-01] 

[NIST-02] 

[NIST-02] 

National Infrastructure Advisory Council, Best Practices for Government to Enhance 

the Security of National Critical Infrastructures, Final Report and Recommendations 

by the Council, USA, April 2004. 

US National Infrastructure Protection Center, Cyber Protests: The Threat to the US Information 

Infrastructure, USA, October 2001. 

Risk Management Guide for Information Technology Systems, NIST Special Publication 

800-30, National Institute for Standards and Technology, USA, July 2002. 

Risk Management Guide for Information Technology Systems, NIST Special Publication 

800-30, National Institute for Standards and Technology, USA, July 2002. 



264



[Obe-06] 

[OECD-02] 

[Rah-05] 

[Rie-07] 

[Ryt-07] 

[Ser-08] 

[SSC-06] 

[Sut-07] 

[USA-00] 

[USA-01] 

[USA-03a] 

[USA-03b] 

[USA-03c] 

Oberoi S., Developing National Information Infrastructure Protection Policy – The 

Role of the Government, Dept. of Communications, IT and the Arts, Australia, 2006. 

“OECD Guidelines for the Security of Information Systems and Networks: Towards 

a Culture of Security”, OECD 2002. 

Rahman S., “Critical Information Infrastructure Protection: Overview of the RκαιD in 

the US”, in Proc. of the Workshop on Critical Information Infrastructure Protection, 

Research and Development, Czech Republic, September 2005. 

Riegel C., Risk Assessment and Critical Infrastructure Protection in Health Care Facilities: 

Reducing Social Vulnerability, Summer Academy 2007, U.N. University, Institute 

for Environment and Human Security (UNU-EHS), 2007. 

Rytz R., “Reporting and Analysis Centre for Information Assurance MELANI, International 

Telecommunication Union (ITU), February 2007. 

Servida A., “Security and Resilience in Information Society: Towards a CICIP Policy 

in the EU”, ENISA Workshop, March 2008. 

State Services Commission, Enabling Transformation: A strategy for e-Government 

2006, New Zealand, November 2006 

Suter M., A Generic National Framework for Critical Information Infrastructure Protection, 

Center for Security Studies, ETH Zurich, August 2007. 

US White House, Defending America’s Cyberspace, National Plan for Information Systems 

Protection, v 1.0, USA, 2000. 

US White House, Report of the President of the US on the status of Federal Critical Infrastructure 

Protection Activities, USA, January 2001. 

US White House, The National Strategy for the Physical Protection of Critical Infrastructures 

and Key Assets, USA, February 2003. 

US White House, The National Strategy for Homeland Security, Office of Homeland 

Security, USA, July 2003. 

US White House, The National Strategy for the Physical Protection of Critical Infrastructures 

and Key Assets, USA, 2003. 

[USA-03d] US White House, The National Strategy to Secure Cyberspace, USA, February 2003. 

[USA-05a] US White House, National Infrastructure Protection Plan, USA, 2005. 

[USA-05b] 

US White House, Cyber Security: A Crisis of Prioritization, Report to the President, 

USA, February 2005. 

[USA-06] US White House, National Infrastructure Protection Plan, USA, 2006. 

[USA-07] 

[Wen-02] 

US White House, The National Strategy for Homeland Security, Homeland Security 

Council, USA, October 2007. 

Wenger A., Metzger J., Dunn M., The International CICIP Handbook, Vol. 1: An Inventory 

of Protection Policies in Eight Countries, Center for Security Studies, ETH 

Zurich, 2002. 



265



Ακρωνύμια 

Στην ελληνική γλώσσα 

ΑΔΑΕ 

ΑΠ 

ΑΠΠΔ 

ΑΠΕΔ 

ΓΕΕΘΑ 

ΓΛΚ 

ΔΔ 

EE 

ΕΕΤΤ 

ΕΛΑΣ 

ΕΥΠ 

ΕΦΤΑ 

MKO 

ΗΕ 

ΗΠΑ 

K-M 

MME 

ΟΟΣΑ 

ΟΠΣΝΑ 

ΠΣ 

ΠΣΕΑ 

ΣΔΙΤ 

ΣΤΥ 

ΤΠΕ 

ΥΑΠ 

ΥΔΤ 

ΥΜΕ 

ΥΠΕ 

ΥΠΕΣ 

ΥΠΟΙΟ 

Αρχή Διασφάλισης Απορρήτου Επικοινωνιών 

Αρχή Πιστοποίησης 

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 

Αρχή Πιστοποίησης Ελληνικού Δημοσίου 

Γενικό Επιτελείο Εθνικής Άμυνας 

Γενικό Λογιστήριο του Κράτους 

Δημόσια Διοίκηση 

Ευρωπαϊκή Ένωση 

Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων 

ΕΛληνική ΑΣτυνομία 

Εθνική Υπηρεσία Πληροφοριών 

Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης 

Μη Κυβερνητικοί Οργανισμοί 

Ηνωμένα Έθνη 

Ηνωμένες Πολιτείες Αμερικής 

Κράτη-Μέλη 

ΜικροΜεσαίες Επιχειρήσεις 

Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης 

Ολοκληρωμένα Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων 

Πληροφοριακά Συστήματα 

Πολιτική Σχεδίαση Έκτακτης Ανάγκης 

Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα 

Σύμβουλος Τεχνικής Υποστήριξης 

Τεχνολογίες Πληροφορικής και Επικοινωνιών 

Υπηρεσία Ανάπτυξης Πληροφορικής 

Υπουργείο Δημόσιας Τάξης 

Υπουργείο Μεταφορών & Επικοινωνιών 

Υποδομές Πληροφορικής και Επικοινωνιών 


ΥΠουργείο ΟΙκονομίας & Οικονομικών 



266



Στην αγγλική γλώσσα 

AB 

AFP 

AGD 

AGIMO 

AHTCC 

AIVD 

AKSIS 

ARECI 

ASIO 

AS/NZS 

AusCERT 

BBK 

BCP-DRP 

BCS 

BfV 

BKA 

BMI 

BMJ 

BMVg 

BMWA 

BND 

BPOL 

BSI 

BZK 

CA 

CATS 

CBRNE 

CCIP 

CCB 

CCS 

CERT 

CERT-Bund 

CERT-NL 

CERT-Verbund 

CESG 

Advisory Board 

Australian Federal Police 

Australian Attorney-General’s Department 

Australian Government Information Management Office 

Australian High Tech Crime Centre 

Dutch General Intelligence and Security Service 

German Working Group on Infrastructure Protection 

Availability and Robustness of Electronic Communications Infrastructures 

Australian Security Intelligence Organisation 

Australian/New Zealand Standard 

Australian Computer Emergency Response Team 

German Federal Office for Civil Protection και Disaster Response 

Business Continuity Plan – Disaster Recovery Plan 

British Computer Society 

German Federal Office for the Protection of the Constitution 

German Federal Criminal Police Agency 

German Federal Ministry of Interior 

German Federal Ministry of Justice 

German Federal Ministry of Defense 

German Federal Ministry of Economics και Labour 

German Federal Intelligence Service 

German Federal Police 

German Federal Office for Information Security 

Dutch Ministry of Interior and Kingdom Relations 

Coordination Action 

Swedish Center for Asymmetric Threat Studies 

Chemical, Biological, Radiological, Nuclear or Explosives 

New Zealand Centre for Critical Infrastructure Protection 

Closed Customer Base 

UK Civil Contingencies Secretariat 

Computer Emergency Response Team 

German CERT 

Dutch CERT for higher education and research organizations 

German CERT-Network 

UK Communications Electronic Security Group 



267



CFAA 

CI 

CICI 

CII 

CIOS 

CIP 

CIWIN 

CLUSIS 

CSIA 

CSIS 

CSIRT 

CYCO 

CSEC 

CIDDAC 

CNI 

CICIP 

CERT/CC 

CICIP 

CoI 

CEA 

CBA 

CTEPA 

CCIRC 

CIAO 

CCIPS 

CIAC 

CSIAAG 

CISE 

CIO 

DHS 

DESS 

DSD 

DTI 

DCITA 

DSO 

DG JLS 

US Computer Fraud and Abuse Act 

Critical Infrastructure 

Critical Information και Communication Infrastructure 

Critical Information Infrastructure 

Swedish National Center for IO/CIP Studies 

Critical Infrastructure Protection 

Critical Infrastructure Warning Information Network 

Swiss non-profit organisation 

UK Central Sponsor for Information Assurance 

Canadian Security Intelligence Service 

Computer Security Incident Response Team 

Swiss Coordination Unit for Cybercrime Control 

Swedish Certification Body for IT SECurity 

US Cyber Incident Detection και Data Analysis Center 

Critical National Infrastructure 

Critical Information Infrastructure Protection 

US CERT Coordination Center 

Critical Information και Communication Infrastructure Protection 

Community of Interest 

Canadian Electricity Association 

Canadian Bankers Association 

Canadian Telecommunications Emergency Preparedness Association 

Canadian Cyber Incident Response Centre 

US Critical Infrastructure Assurance Office 

US Computer Crime and Intellectual Property Section 

Critical Infrastructure Advisory Council 

Communications Sector Infrastructure Assurance Advisory Group 

Computer και Information Science and Engineering 

Chief Information Officer 

US Department of Homeland Security 

New Zealand Domestic and External Secretariat 

Australian Defense Signals Directorate 

UK Department of Trade and Industry 

Australian Department of Communications, Information Technology and the Arts 

New Zealand Departmental Security Officer 

Directorate General “Justice, Law και Security” 



268



DOTARS 

DFAT 

DFS 

deNIS 

DDPS 

ESCG 

ESNA 

EAG 

ENISA 

EZ 

ESRAB 

EPCIP 

ESRP 

ESRIF 

ECI 

EC 

ECP.NL 

EFD 

FOITT 

FedPol 

FEMA 

FedCIRC 

FBI 

FOI 

FOI/CISU 

FP 

FRA 

FACA 

FMV 

FOIA 

FIRST 

FIRST 

GetSafeOnline 

GOC 

GoL 

GCSB 

Australian Department Of Transport And Regional Services 

Australian Department of Foreign Affairs and Trade 

Swedish Information Processing Society 

German Emergency Preparedness Information System 

Swiss Federal Department of Defense, Civil Protection, and Sports 

Australian E-Security Coordination Group 

Australian E-Security National Agenda 

Expert Advisory Group 

European Network και Information Security Agency 

Dutch Ministry of Economic Affairs 

European Security Research Advisory Board 

European Programme for Critical Infrastructure Protection 

European Security Research Program 

European Security Research and Innovation Forum 

European Critical Infrastructure 

European Commission 

Electronic Commerce Platform NetherLands 

Swiss Federal Department of Finance 

Swiss Federal Office of IT, Systems and Telecommunication 

Swiss Federal Office of Police 

US Federal Emergency Management Agency 

US Federal Computer Incident Response Center 

US Federal Bureau of Investigation 

Swedish Defense Research Agency 

FOI/Critical Infrastructure Studies Unit 

Framework Programme 

Swedish National Defense Radio Establishment 

US Federal Advisory Committee Act 

Swedish Defense Materiel Administration 

US Freedom Of Information Act 

Forum of Incident Response and Security Teams 

Forum of Incident Response και Security Teams 

UK PPP 

Canadian Government Operations Center 

Canadian Government-on-Line policy 

New Zealand Government Communications Security Bureau 



269



GAO 

US Government Accountability Office 

GCHQ UK Government Communications HeadQuarters 

G8 Group of Eight (8) 

GOVCERT.NL Dutch Government CERT 

GRNET Greek Research & Technology Network 

HSPD 

US Homeland Security Presidential Directive 

HSEO 

US Homeland Security Executive Orders 

HERT 

Dutch Hacking Emergency Response Team 

IAIP/ICD US IAIP/Infrastructure Coordination Division 

IO 

Information Operations 

ICS 

New Zealand Interdepartmental Committee on Security 

IAIP/NCSD US IAIP/National Cyber Security Division 

IAIP/PSD US IAIP/Protective Services Division 

IAIP/NCS US IAIP/National Communications System Division 

ITAC 

Integrated Threat Assessment Centre 

IAAC 

UK Information Assurance Advisory Council 

IAAG 

Infrastructure Assurance Advisory Group 

IAIP 

US Information Analysis and Infrastructure Protection Directorate of DHS 

IST 

Swedish Institute for Signals Intelligence and Technical Information 

IIPG 

Australian Information Infrastructure Protection Group 

ISAC 

Information Sharing and Analysis Center 

Itsafe 

UK IT Security Awareness For Everyone 

ISIDRAS Information Security Incident Detection Reporting και Analysis Scheme 

ITSEAG Information Security Expert Advisory Group 

IST 

Information Society Technologies 

IT 

Information Technology 

ISB 

Swiss Federal Strategy Unit for Information Technology 

ITAA 

Information Technology Association of America 

I3P 

US Institute for Information Infrastructure Protection 

ICT 

Information και Communication Technologies 

IABG 

IndustrieAnlagen-BetriebsGesellschaft 

JIIPR 

Canadian Joint Infrastructure Interdependencies Research Program 

KLPD 

The Netherlands Police Agency 

MoD 

UK Ministry Of Defense 

MS 

Member States 

MOD-CERT UK Ministry Of Defense Computer Emergency Response Team 



270



MELANI 

Mcert 

NACOTEL 

NCTP 

NCSP 

NITAS 

NCC 

NHTCU 

NCIAP 

NGOs 

NSAC 

NCO-T 

NSF 

NISCC 

NCI 

NES/ICT-I 

NSD 

NATO 

NIPC 

NIST 

NES 

NDMS 

NERS 

NZSIT 

NZSA 

NHTCC 

NSSC 

NIPP 

NZSIS 

NIAC 

NCSA 

NERC 

NPB 

NGOs 

NPSI 

ODESC 

Swiss Reporting and Analysis Center for Information Assurance 

German CERT for SMEs 

Dutch National Continuity Plan for TELecommunications 

Australian National Counter-Terrorism Plan 

National Cyber Security Partnership 

Australian National Information Technology Alert Service 

Dutch National Coordination Center 

UK National High Tech Crime Unit 

Canadian National Critical Infrastructure Assurance Program 

Νon-Governmental Organizations 

UK National Security Advice Centre 

Dutch National Continuity Consultation Platform Telecommunications 

US National Science Foundation 

UK National Infrastructure Security Coordination Centre 

National Critical Infrastructure 

NES/ICT Infrastructure Unit 

Swedish Industry Security Delegation 

North Atlantic Treaty Organisation 

US National Infrastructure Protection Center 

US National Institute of Standards και Technology 

Swiss Federal Office for National Economic Supply 

Canadian National Disaster Mitigation Strategy 

Canadian National Emergency Response System 

New Zealand Security of Information Technology 

New Zealand Security Association 

Dutch National High-Tech Crime Center 

US National Strategy to Secure Cyberspace 

US National Infrastructure Protection Plan 

New Zealand Security Intelligence Service 

US National Infrastructure Advisory Council 

US National Cyber Security Alliance 

North American Electricity Reliability Council 

Swedish National Police Board 

Non-Governmental Organizations 

German National Plan for the Protection of Information Infrastructures 

New Zealand Officials Committee for Domestic and External Security Co-ordination 



271



OCB 

OFCOM 

OCICIP 

OASD/NII 

OECD 

OST 

PMκαιC 

PPO 

PKI 

PPP 

PCIS 

PTS 

PSYOPS 

PASR 

PSEPC 

PSG 

PCCIP 

PDD 

PG AG KRITIS 

RCMP 

R&D 

RISEPTIS 

RegTP 

SCADA 

SME 

SWITCH 

SWITCH-CERT 

SONIA 

SEMA 

SÄPO 

SITIC 

SC 

SOVI 

TERENA 

TI 

Open Customer Base 

Swiss Federal Office for Communication 

US Office of Computer Investigation and Infrastructure Protection 

US Office of the Assistant Secretary of Defense for Networks and Information Integration 

Organisation for Economic Co-operation and Development 

UK Office for Science and Technology 

Australian Department of the Prime Minister και Cabinet 

US Planning and Partnership Office 

Public Key Infrastructure 

Public Private Partnership 

US Partnership for Critical Infrastructure Security 

Swedish National Post and Telecom Agency 

Psychological Warfare 

Preparatory Action on Security Research 

Public Safety και Emergency Preparedness Canada 

Permanent Stakeholder’s Group 

US President’s Commission on Critical Infrastructure Protection 

US Presidential Decision Directive 

German Task Force/Project Group for Critical Infrastructure Protection 

Royal Canadian Mounted Police 

Research & Technnological Development 

Research and Innovation for Security, Privacy and Trustworthiness in the Information 

Society 

German Regulatory Agency for Telecommunications και Post 

Supervisory Control and Data Acquisition 

Small-Medium Enterprise 

Swiss Education and Research Network (SWITCH) 

Swiss CERT 

Swiss Special Task Force ON Information Assurance 

Swedish Emergency Management Agency 

Swedish Security Service 

Swedish IT Incident Centre 

Steering Committee 

Dutch Critical Infrastructure Strategic Consultation Group 

Trans-European Research and Education Networking Association 

Trusted Introducer 



272



TISN 

TSA 

TNO 

UN 

UNIRAS 

US 

UK 

VκαιW 

VROM 

VWS 

WG 

WARP 

ZES 

Australian Trusted Information Sharing Network 

Swedish National Communications Security Group 

The Netherlands Organization for Applied Scientific Research 

United Nations 

UK Unified Incident Reporting and Alert Scheme 

United States 

United Kingdom 

Dutch Ministry of Transport, Public Works, and Water Management 

Dutch Ministry of Housing, Spatial Planning, and the Environment 

Dutch Ministry of Health, Welfare and Sports 

Working Group 

Warning, Advice and Reporting Point 

German Center for Strategic Studies 



273



# 

Παραρτήματα 



274



ΠΑΡΑΡΤΗΜΑ Α: Ερωτηματολόγια 

Ερωτηματολόγιο Ε1 

Πάροχοι/Ανάδοχοι Υποδομών και Υπηρεσιών 

προς τη Δημόσια Διοίκηση 



275



Οργάνωση Ασφάλειας Πληροφοριών 

1. Διαθέτει ο οργανισμός σας ένα σαφώς καθορισμένο οργανωτικό σχήμα Διαχείρισης Ασφάλειας Πληροφοριών; 

(ενδέχεται να είναι ένα τμήμα/ υπηρεσία/διεύθυνση…) 

Ναι – μετάβαση στις ερωτήσεις 1α-β 

Όχι – μετάβαση στην ερώτηση 2 

1α. Ποιος είναι το μοντέλο Διαχείρισης Ασφάλειας Πληροφοριών στον οργανισμό σας ? [Επιλέξτε 

μόνο ένα] 

Κεντρικοποιημένο (Centralized) – π.χ. αποκλειστική διαχείριση όλων των σχετικών 

δραστηριοτήτων από το τμήμα / υπηρεσία / διεύθυνση 

Κατανεμημένο (Decentralized) – π.χ. εκχώρηση μέρους δραστηριοτήτων σε άλλα 

τμήματα / διευθύνσεις / του ίδιου οργανισμού 

Άλλο 

1β. Σε ποιο βαθμό η Διαχείριση Ασφάλειας Πληροφοριών ενσωματώνεται στη συνολική 

Διαχείριση Κινδύνων του οργανισμού σας; [Επιλέξτε μόνο ένα] 

Πλήρης ενσωμάτωση με τη συνολική Διαχείριση Κινδύνων του οργανισμού (π.χ. 

τακτές συναντήσεις, συμφωνημένη υιοθέτηση πλαισίων, ομάδες εργασίας και 

παρακολούθησης, κλπ) 

Μερική ενσωματωμένη με τη συνολική Διαχείριση Κινδύνων του οργανισμού 

Δεν υπάρχει ενσωμάτωση – η Διαχείριση Ασφάλειας Πληροφοριών είναι ανεξάρτητη 

από τη συνολική Διαχείριση Κινδύνων του οργανισμού 

2. Λήφθηκαν υπόψη θέματα ασφάλειας στις κάτωθι δραστηριότητες κατά τους τελευταίους 12 μήνες; Εάν 

ναι, ο χαρακτήρας των σχετικών παρεμβάσεων ήταν περισσότερο προληπτικού ή κατασταλτικού χαρακτήρα; 

(proactive vs reactive) 

Δραστηριότητα 

Προστασία πνευματικής ιδιοκτησίας 

Βελτίωση των παρεχόμενων υπηρεσιών ή 

προϊόντων 

Κανονιστικές υποχρεώσεις του τομέα 

(industry compliance) 

Βελτίωση λειτουργίας των συστημάτων 

πληροφορικής 

Θέματα 


δεν 

λήφθηκαν 

υπόψη 

Ναι, θέματα Ασφάλειας 

λήφθηκαν υπόψη 

Χαρακτήρας παρέμβασης 

περισσότερο 

προληπτικά 


κατασταλτικά 



276




Βελτίωση της εταιρικής εικόνας και της 

εμπιστοσύνης των χρηστών των υπηρεσιών 

Συμμόρφωση με τις πολιτικές και τις 

διαδικασίες του ομίλου 

Ιδιωτικότητα και προστασία δεδομένων 

Θέματα 


δεν 

λήφθηκαν 

υπόψη 

Ναι, θέματα Ασφάλειας 

λήφθηκαν υπόψη 

Χαρακτήρας παρέμβασης 


προληπτικά 


κατασταλτικά 

Κανονιστικές υποχρεώσεις 

3. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες 

πρακτικές και μέτρα ασφάλειας τους τελευταίους 12 μήνες. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες 

κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες πρακτικές και μέτρα ασφάλειας τους επόμενους 

12 μήνες. Σημειώστε εάν υπάρχουν έργα ασφάλειας σε εξέλιξη για τις κατηγορίες που επιλέξατε. 

Τύποι Κανονιστικών Πλαισίων 

Στους 

τελευταίους 

12 μήνες 

Στους 

επόμενους 

12 μήνες 

Έργα Ασφάλειας 

Πληροφοριών σε 

εξέλιξη 

Εσωτερικός Έλεγχος (π.χ. Sarbanes-Oxley, 

EU 8 th Directive κλπ.) 

Προστασία Δεδομένων (νόμοι περί 

προστασίας προσωπικών δεδομένων, 

ιδιωτικότητα δεδομένων επικοινωνιών κλπ.) 

Τομεακά κανονιστικά πλαίσια (π.χ. PCI 

Data Security Standard) 

Προστασία πνευματικής ιδιοκτησίας 

Κύρια Θέματα Ασφάλειας 

4. Επιλέξτε τα τρία (3) κυριότερα θέματα ασφάλειας που έχουν εντοπιστεί σαν τα πλέον σημαντικά. Υπάρχει 

κάποιο πλάνο αντιμετώπισής τους; 

Θέμα Ασφάλειας 

Σημαντικό 

θέμα 


Τώρα 

Πλάνο Αντιμετώπισης 

Στους 


12 μήνες 

Δεν υπάρχει 

πλάνο 

Radio Frequency Identifiers (RFID) 

Κινητό υπολογίζειν (πχ. PDA, smart phones) 

Διαχείριση Ψηφιακών Δικαιωμάτων (Digital 

Rights Management) 

Κινητά αποθηκευτικά μέσα (πχ. USB flash 

drive, portable drives) 



277



Θέμα Ασφάλειας 

Σημαντικό 

θέμα 


Τώρα 

Πλάνο Αντιμετώπισης 

Στους 


12 μήνες 

Δεν υπάρχει 

πλάνο 

Τηλεφωνία μέσω Διαδικτύου (Voice-over-IP 

telephony) 

Εφαρμογές Διαδικτύου 

Web Services 

Ασύρματα δίκτυα 

Υπηρεσίες Messaging (πχ. Instant messaging, 

email) 

Νέα λειτουργικά συστήματα (πχ. Vista) 

Κρυπτογράφηση του e-mail 

Κρυπτογράφηση του σκληρού δίσκου 

Πρακτικές Ασφάλειας Πληροφοριών στον οργανισμό σας 

5. Με ποιο τρόπο ελέγχετε το επίπεδο ασφάλειας του οργανισμού σας; [επιλέξτε όλες τις επιλογές που ι- 

σχύουν] 

Εσωτερικός έλεγχος (Internal Audit) 

Εξωτερικός / οικονομικός έλεγχος (External Audit) 

Ανεξάρτητη αποτίμηση από τρίτο μέρος (π.χ. ΑΠΠΔ, ΑΔΑΕ, SAS 70) 

Εσωτερική αποτίμηση με ίδιους πόρους 

Άλλο ____________________________________ 

6. Επιλέξτε τις πέντε (5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους σπουδαιότητας (1 = 

μικρής σπουδαιότητας, 5 = ύψιστης σπουδαιότητας) για τον οργανισμό σας. Ανεξάρτητα επιλέξτε τις πέντε 

(5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους απαιτούμενου χρόνου υλοποίησης 

για τον οργανισμό σας (1 = ελάχιστος χρόνος υλοποίησης, 5 = μέγιστος χρόνος υλοποίησης): 

Συμμόρφωση (Compliance) 

Συνέχεια Λειτουργιών (Business continuity management) 

Διαχείριση ασφάλειας κινδύνων πληροφορικής 

Προμήθεια, ανάπτυξη και συντήρηση πληροφοριακών 


Διαχείριση πρόσβασης 

Διαχείριση επικοινωνιών και λειτουργιών 

Σπουδαιότητα 

Απαιτούμενος 

χρόνος υλοποίησης 



278



Φυσική ασφάλεια 

Προστασία ανθρώπινου δυναμικού 

Διαχείριση πόρων πληροφορικής 

Οργάνωση ασφάλειας πληροφοριών 

Πολιτική ασφάλειας 

Στρατηγική ασφάλειας 

Αποτίμηση κινδύνων πληροφοριακών συστημάτων 

Ιδιωτικότητα 

Δυνατότητα καταλογισμού ευθύνης (accountability) 

Σπουδαιότητα 

Απαιτούμενος 

χρόνος υλοποίησης 

Οργάνωση Ασφάλειας 

7. Με ποιο τρόπο αντιμετωπίζετε τα κάτωθι θέματα ασφάλειας πληροφοριών στον οργανισμό σας; 

Θέματα ασφάλειας πληροφοριών: 

Δεν 

αντιμετωπίζεται 

Άτυπες 

πρακτικές 64 

Τυπικές 

πρακτικές 65 

Ενσωμάτωση πρακτικών ασφάλειας 

κατά την ανάπτυξη των εφαρμογών 

πληροφορικής 

Διαχείριση περιστατικών ασφάλειας 

(συμπεριλαμβανομένης της 

αποκάλυψης προσωπικών δεδομένων) 

Πλάνο Συνέχειας Λειτουργιών 

Διαχείριση κινδύνων από τρίτα μέρη, 

συμπεριλαμβανομένης της εκχώρησης 

λειτουργιών σε τρίτα μέρη (outsourcing) 

Σύγκλιση λογικής και φυσικής 

ασφάλειας (convergence) 

Εκπαίδευση και ενημέρωση 

Ιδιωτικότητα και προστασία 

προσωπικών δεδομένων 

8. Κατά τη συνεργασία με τρίτα μέρη (π.χ. εκχώρηση λειτουργιών – outsourcing, ανάπτυξη εφαρμογών, 

κλπ.), ποια από τα επόμενα απαιτείτε ως μέρος των διαδικασιών/πρακτικών διαχείρισης κινδύνων των 

προμηθευτών/συνεργατών σας; 

64 Μη καταγεγραμμένες πρακτικές που εφαρμόζονται. 

65 Καταγεγραμμένες πρακτικές που εφαρμόζονται. 



279



Οι προμηθευτές/συνεργάτες διαθέτουν και εφαρμόζουν πολιτικές και διαδικασίες ασφάλειας 

πληροφοριών και προστασίας της ιδιωτικότητας 

Οι προμηθευτές/συνεργάτες έχουν τη δυνατότητα να υποστηρίξουν τις πολιτικές, διαδικασίες 

και πρότυπα του οργανισμού σας 

Ένα ανεξάρτητο τρίτο μέρος έχει αποτιμήσει με βάση βέλτιστες πρακτικές (best practices) τις 

πολιτικές και διαδικασίες ασφάλειας πληροφοριών και προστασίας της ιδιωτικότητας των 

προμηθευτών/συνεργατών 

Οι προμηθευτές / συνεργάτες είναι πιστοποιημένοι (π.χ. ISO 27001 κλπ.) 

Αποτίμηση Επικινδυνότητας 

9. Έχει διεξαχθεί μια άσκηση Αποτίμηση Επικινδυνότητας; 

Ναι – μετάβαση στην ερώτηση 9α 

Όχι – μετάβαση στην ερώτηση 10. 

9α. Από την παρακάτω λίστα των πρακτικών/μεθόδων Αποτίμησης Επικινδυνότητας, βαθμολογήστε 

την αποτελεσματικότητα της προσέγγισης που υιοθετήσατε: 

Πρακτικές/Μέθοδοι Αποτίμησης Επικινδυνότητας 

Πραγματοποιήθηκε Αποτίμηση Επικινδυνότητας υψηλού 

επιπέδου (σε επίπεδο οργανισμού/ομίλου κλπ.) που κάλυπτε 

θέματα ασφάλειας και ιδιωτικότητας 

Διεξάγεται περιοδικά κατηγοριοποίηση των 

πληροφοριακών αγαθών με βάση τις αρχές της 

εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας 

Διεξάγεται περιοδικά άσκηση εντοπισμού και διαχείρισης 

απειλών και αδυναμιών (Threat and Vulnerability 

Identification and Management) 

Η διαδικασία Αποτίμησης Επικινδυνότητας αξιοποιεί τα 

αποτελέσματα των ασκήσεων εντοπισμού και διαχείρισης 

απειλών και αδυναμιών, ενώ επίσης συνυπολογίζει και τις 

επιχειρησιακές επιπτώσεις προκειμένου να καθορίσει τους 

κινδύνους ασφάλειας πληροφοριών 

Οι διαδικασίες Αποτίμησης Επικινδυνότητας 

χρησιμοποιούνται σαν έρεισμα για επιπρόσθετες 

επενδύσεις σε θέματα ασφάλειας. 

Αποτιμήσεις επιπέδου συμμόρφωσης διεξάγονται 

προκειμένου να καλυφθούν εταιρικές (corporate), 

κανονιστικές (regulatory) ή τομεακές (industry) απαιτήσεις. 

Εφαρμόζονται συστηματικές μεθοδολογίες Αποτίμησης 

Επικινδυνότητας Formal risk assessment methodologies 

applied (πχ. OCTAVE,CRAMM) 

Αποτελεσματικότητα 

Λιγότερο … Περισσότερο 

1 2 3 4 5 



280



Αναφορές 

10. Ποια είναι η συχνότητα ενημέρωσης στα παρακάτω θέματα ασφάλειας από τον υπεύθυνο (τμήμα/διεύθυνση/…) 

προς τις παρακάτω αναφερόμενες εταιρικές δομές; 

Συχνότητα 

Προς την Εκτελεστική Διοίκηση (board of 

directors) ή αντίστοιχο όργανο 

Αναφορά των περιστατικών ασφάλειας του 


Κάθε 

μήνα 

Κάθε 

τρίμηνο 

Κάθε 

εξάμηνο Ετησίως 

Ποτέ 

Αναφορά προόδου των κύριων έργων ασφάλειας 

του οργανισμού 

Αναφορά του επιπέδου συμμόρφωσης 

(compliance) του οργανισμού 

Προς τους υπεύθυνους τμημάτων / διοικητικών 

μονάδων 

Αναφορά των περιστατικών ασφάλειας του 


Αναφορά προόδου των κύριων έργων ασφάλειας 

του οργανισμού 

Αναφορά του επιπέδου συμμόρφωσης 

(compliance) του οργανισμού 

Εκπαίδευση 

11. Τι τύπου προγράμματα εκπαίδευσης και ενημέρωσης σχετικά με ασφάλεια προσφέρονται από τον οργανισμό 

σας στις κάτωθι ομάδες προσωπικού; [επιλέξτε όλες τις επιλογές που ισχύουν] 

Ομάδα 

Γενικές ομάδες χρηστών 


Θεμάτων 


στον 

οργανισμό 

Πολιτικές και 

Διαδικασίες 


Διαχείριση 




και Προστασία 

Προσωπικών 

Δεδομένων 

Προσωπικό τμήματος / 

διεύθυνσης πληροφορικής 

Προσωπικό ασφάλειας 


Εκτελεστική Διοίκηση 

Άλλες εμπλεκόμενες ομάδες 

(π.χ. Εσωτερικός Έλεγχος, 

Νομικό τμήμα) 

Ειδικές ομάδες χρηστών (π.χ. 

Εξυπηρέτηση Πελατών, 



281



Ομάδα 

Πωλήσεις, Marketing) 


Θεμάτων 


στον 

οργανισμό 

Πολιτικές και 

Διαδικασίες 


Διαχείριση 




και Προστασία 

Προσωπικών 

Δεδομένων 

Πρότυπα Ασφάλειας και Διαχείρισης Κινδύνων 

12. Ποια από τα κάτωθι πρότυπα έχει υιοθετήσει και εφαρμόσει ο οργανισμός σας; 

Υιοθέτηση και 


ISO/IEC 17799:2005 

ISO/IEC 27001 

Information Security Forum 

CobIT 

Information Technology Infrastructure Library (ITIL) 

Capability Maturity Model Integration (CMMI) 

Τίποτε από τα παραπάνω 

Άλλο ------------------------------ 

Σύγκλιση Λογικής και Φυσικής Ασφάλειας 

13. Ποια είναι η τρέχουσα κατάσταση όσον αφορά τις κάτωθι δραστηριότητες ασφάλειας στον οργανισμό 

σας; 


Ισχύει / 

υλοποίηση 

σε εξέλιξη 

Υλοποίηση 

στους 

επόμενους 12 

μήνες 

Δεν 

υλοποιείται 

Παροχή φυσικής πρόσβασης με χρήση σχετικών 

συστημάτων και διαδικασιών (π.χ. απλές κάρτες 

πρόσβασης) 

Χρήση συστημάτων αυθεντικοποίησης για φυσική 

πρόσβαση (π.χ. proximity cards, biometrics) 

Χρήση συστημάτων παρακολούθησης για φυσική και 

λογική πρόσβαση από μια κεντρική κονσόλα 

Χρήση εξοπλισμού για παρακολούθηση της φυσικής 

πρόσβασης στο IP δίκτυο 

14. Ποιες από τις παρακάτω περιοχές ασφάλειας ανήκουν στην υπευθυνότητα του υπεύθυνου Ασφάλειας 

Πληροφοριών (ή αντίστοιχου ρόλου) στον οργανισμό σας; [επιλέξτε όλες τις επιλογές που ισχύουν]. 



282



Φυσική ασφάλεια 

Συνέχεια Λειτουργιών 

Ασφάλεια Προσωπικού 

Υγεία και Προστασία Προσωπικού (Health and safety) 

Συμμόρφωση (Compliance) 

Διαχείριση Κινδύνων (Risk Management) 

Διαχείριση Συνέχειας Λειτουργιών (Business Continuity Management) και Ανάκαμψη από 

Καταστροφές (Disaster Recovery) 

15. Ποιες από τις ακόλουθες δράσεις σχετικά με τη Διαχείριση Συνέχειας Λειτουργιών έχουν ληφθεί υπόψη 

στην ανάπτυξη των Πλάνων Συνέχειας Λειτουργιών (Business Continuity Plans - BCPs) ; [επιλέξτε όλες 

τις επιλογές που ισχύουν]. 

Δράσεις Διαχείρισης Συνέχειας Λειτουργιών 

Αποτίμηση Επικινδυνότητας πληροφοριών 

Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact Analysis – BIA) για να αποτιμηθεί η 

επίπτωση ενός περιστατικού συνέχειας λειτουργιών στον οργανισμό 

Εντοπισμός και κατηγοριοποίηση των κρίσιμων επιχειρησιακών διαδικασιών 

Χρόνοι ανάκαμψης δηλώνονται ρητά στα SLAs και στις συμφωνίες με τους κύριους παρόχους 

υπηρεσιών / προμηθευτές 

Οι χρόνοι ανάκαμψης έχουν ρητά συμφωνηθεί με τα εμπλεκόμενα τμήματα 

Οι διαδικασίες αποτίμησης της σοβαρότητας των περιστατικών έχουν οριστεί ρητά 

Σχέδια δράσης για ανάκαμψη των κρίσιμων επιχειρησιακών διεργασιών 

Έλεγχος του πλάνου 

Στρατηγική διαχείρισης της εσωτερικής / εξωτερικής επικοινωνίας του συμβάντος 

Διαχείριση Κρίσεων 

Άλλο 

16. Τα Πλάνα Συνέχειας Λειτουργιών περιλαμβάνουν ειδικά πλάνα και προετοιμασία για μια κρίση που καλύπτει 

μια ολόκληρη γεωγραφική περιοχή (πιθανά με παγκόσμιο εύρος) όπως τρομοκρατική επίθεση, 

τσουνάμι κλπ.; 

Ναι – υπάρχουν συγκεκριμένα πλάνα και προβλέψεις 

Όχι – αλλά εκτιμάται ότι τα τρέχοντα Πλάνα Συνέχειας Λειτουργιών είναι επαρκή και στην 

εμφάνιση κάποιου τέτοιου περιστατικού 

Όχι – δεν έχουν προβλεφθεί παρόμοια περιστατικά στα Πλάνα Συνέχειας Λειτουργιών 

17. Ποια είναι η πιο πρόσφατη δοκιμή (ή εφαρμογή) του Πλάνου Συνέχειας Λειτουργιών σας; 

Μέσα στο τελευταίο έτος 

Μέσα στα τελευταία 2 έτη 

Περισσότερο από 2 έτη 

Δεν ελέγχθηκε ή εφαρμόστηκε 

18. Ποιες από τις ακόλουθες δράσεις έχουν ληφθεί υπόψη στην ανάπτυξη των Πλάνων Ανάκαμψης από 

Καταστροφές (Disaster Recovery Plans - DRPs); [επιλέξτε όλες τις επιλογές που ισχύουν]. 

Τα πλάνα περιλαμβάνουν διαδικασία αντικατάστασης του Διευθ. Συμβούλου σε περίπτωση 

μη διαθεσιμότητάς του 



283



Εκπαίδευση εφεδρικού προσωπικού για διεξαγωγή επειγόντων δραστηριοτήτων (emergency 

tasks) 

Τοποθεσίες εκτός κρίσης έχουν προβλεφθεί για τη Διοίκηση προκειμένου να σχεδιαστεί 

επαρκώς η αντιμετώπιση της κρίσης 

Ασκήσεις αντίδρασης σε επείγοντα περιστατικά με συμμετοχή όλου του προσωπικού 

(συμπεριλαμβανομένης και της Διοίκησης) 

Οι ασκήσεις αντίδρασης σε επείγοντα περιστατικά είναι αρκούντως ρεαλιστικές έτσι ώστε να 

προσομοιωθεί επαρκώς μια κατάσταση κρίσης 

Διεξάγονται ασκήσεις επικοινωνίας της κρίσης με το προσωπικό, τους πελάτες και τρίτα 

μέρη 

Υπάρχει διαθέσιμος εφεδρικός εξοπλισμός τηλεπικοινωνιών σε περίπτωση μη λειτουργίας 

των τηλεφωνικών δικτύων 

Υπάρχουν συμφωνίες με τοπικές αρχές και ομάδες αντιμετώπισης καταστροφών 

(Πυροσβεστική, Αστυνομία, ιατρικές ομάδες) οι οποίες έχουν γνώση του οργανισμού σας 

και έχουν άμεση ανταπόκριση σε κλήσεις σε περίπτωση κρίσης 

Τα Πλάνα Ανάκαμψης από Καταστροφή ελέγχονται με επαρκή συχνότητα προκειμένου να 

βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού σας (τεχνολογίες, 

προσωπικό και εγκαταστάσεις) 

Συμβάσεις Διασφάλισης Ποιότητας της Παρεχόμενης Υπηρεσίας (Service Level Agreements, SLA) 

19. Ποιες από τα ακόλουθα σημεία έχουν ληφθεί υπόψη στην ανάπτυξη των SLA; [επιλέξτε όλες τις επιλογές 

που ισχύουν]. 

Σαφής ορισμός της παρεχόμενης υπηρεσίας 

Σαφής περιγραφή του τρόπου με τον οποίο παρέχεται η εν λόγω υπηρεσία 

Ορισμός ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας 

(διαθεσιμότητα, απόδοση, χρόνοι απόκρισης, κλπ.) 

Ορισμός υπεύθυνου για τον έλεγχο της επάρκειας της παρεχόμενης υπηρεσίας 

Ορισμός ποινών για αποτυχία παροχής του αναμενόμενου επιπέδου υπηρεσίας 

Σύνδεση με Πλάνα Συνέχειας Λειτουργιών (BCP) και/ή Πλάνα Ανάκαμψης από 

Καταστροφές (DRP) 

Παροχή επαρκούς υποστήριξης (π.χ. Help Desk) για την ανάκαμψη της υπηρεσίας 

Ορισμός επαρκούς διαδικασίας για την επικαιροποίηση του SLA 



284




Πάροχοι Υπηρεσιών Δημόσιας Διοίκησης 



285



Πληροφοριακή / Επικοινωνιακή Υποδομή: 

1) Παρακαλώ σημειώστε ποιες από τις βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκησης 

66,2 παρέχει η πληροφοριακή/επικοινωνιακή υποδομή. Σημειώστε επίσης την εκτίμησή 

σας για το επίπεδο εξέλιξης της κάθε υπηρεσίας με βάση την παρακάτω κλίμακα: 

1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες 

2. Μονόδρομη Επικοινωνία (downloading εντύπων) 

3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση) 

4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής) 

5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών) 

ΥΠΗΡΕΣΙΕΣ 

ΠΡΟΣ ΤΟΥΣ 

ΠΟΛΙΤΕΣ 

Υπηρεσία 

Φόρος Εισοδήματος 

(δήλωση, ειδοποίηση 

εκκαθάρισης) 

Υπηρεσίες αναζήτησης 

εργασίας 

Εισφορές κοινωνικής 

ασφάλισης 

Προσωπικά έγγραφα 

(διαβατήρια, άδειες 

οδήγησης) 

Έκδοση οικοδομικής άδειας 

Δημόσιες βιβλιοθήκες 

(διαθεσιμότητα, εργαλεία 

αναζήτησης) 

Πιστοποιητικά (έκδοση, 

παραλαβή) 

Ανώτατη εκπαίδευση 

Υπηρεσίες υγείας 

(διαθεσιμότητα, ραντεβού) 

Άλλη υπηρεσία: 



Παρέχεται 

() 

Επίπεδο 

εξέλιξης 



66 

2 

European Commission, eGovernment Factsheets, “eGovernment in Greece”, ver. 9, December 2007. 

Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”, 

Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007. 



286



ΥΠΗΡΕΣΙΕΣ 

ΠΡΟΣ ΤΙΣ 

ΕΠΙΧΕΙΡΗΣΕΙΣ 

Εισφορές κοινωνικής 

ασφάλισης για τους 

εργαζομένους 

Φόρος επιχειρήσεων 



ΦΠΑ επιχειρήσεων 



Έναρξη επιχείρησης 

Υποβολή στοιχείων σε 

στατιστικές υπηρεσίες 

Περιβαλλοντικές άδειες 



2) Η υποδομή/υπηρεσία που παρέχετε εξαρτάται από άλλες υποδομές/υπηρεσίες τρίτων; Ποιος 

είναι ο τύπος της εξάρτησης από κάθε διασυνδεδεμένη υποδομή/ΟΠΣ (πχ. παροχή δικτυακής 

σύνδεσης, hosting εξοπλισμού, ανταλλαγή δεδομένων; Πως διασφαλίζετε τη διαθεσιμότητα 

και ασφαλή λειτουργία τους; Συμπληρώστε κατάλληλα τον παρακάτω πίνακα. 

Διασυνδεδεμένη 

Υποδομή/ΟΠΣ 

Τύπος εξάρτησης 

Παρατηρήσεις 

3) Ποιο είναι το υφιστάμενο επίπεδο ασφάλειας πληροφοριών/συστημάτων (Information Security) 

στον οργανισμό σας (επιλέξετε όσες απαντήσεις θεωρείτε ότι περιγράφουν την υφιστάμενη 

κατάσταση στον οργανισμό σας); 

1. Όχι σαφώς προσδιορισμένο 

2. Έχει εκπονηθεί μελέτη ασφάλειας 

3. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (εν μέρει) 

4. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (πλήρως) 

5. Υπάρχει ειδική ομάδα/υπηρεσία για τα θέματα ασφάλειας 



287



6. Πραγματοποιούνται τακτικοί εσωτερικοί έλεγχοι 

του επιπέδου ασφάλειας 

 

7. Πραγματοποιούνται τακτικοί έλεγχοι ασφάλειας 

(από εξωτερικό/ ανεξάρτητο φορέα) 

 

8. Υπάρχει Σχέδιο Συνέχειας/Ανάκαμψης (BCP/DRP) 

9. Πραγματοποιούνται έλεγχοι/δοκιμές του Σχεδίου 

Συνέχειας Λειτουργίας/Ανάκαμψης Συστημάτων 

 

10. Άλλο (παρακαλώ περιγράψτε) 

……………………………………………………………………………………… 

4) Περιλαμβάνονται στις συμβατικές υποχρεώσεις προς τους πελάτες σας όροι που αφορούν 

στην ασφάλεια; Παρακαλώ περιγράψτε. 

……………………………………………………………………………………………… 

5) Υπάρχουν υπηρεσίες τις οποίες παρέχετε μέσω άλλων φορέων; Σε αυτή την περίπτωση, 

υπάρχουν συμφωνητικά παροχής υπηρεσιών (Service Level Agreements – SLA) τα οποία 

περιλαμβάνουν και όρους σχετικά με το επίπεδο ασφάλειας των πληροφοριών που 

επεξεργάζονται οι συνεργαζόμενοι φορείς; Παρακαλώ περιγράψτε. 

……………………………………………………………………………………………… 

6) Ο οργανισμός τον οποίο στελεχώνετε, υπόκειται στην εφαρμογή Κανονιστικού / πλαισίου 

κάποιας ρυθμιστικής / εποπτικής αρχής; 

1. Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) 

2. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) 

3. Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) 

4. Άλλη ρυθμιστική / εποπτική Αρχή (παρακαλώ αναφέρατε) 

……………………………………………………………………………………… 

7) Παρακαλώ συμπληρώστε στον παρακάτω πίνακα, επιλέγοντας τις τιμές τις οποίες θεωρείτε 

κατάλληλες για να περιγράψουν τις επιπτώσεις που θα επιφέρει η μη λειτουργία της πληροφοριακής\δικτυακής 

υποδομής του οργανισμού σας, η οποία χρησιμοποιείται στην παροχή 

υπηρεσιών Δημόσιας Διοίκησης. 



288




επηρεαζόμενων 



Επίπτωση ( € ) 






Αντίδραση της 

κοινής γνώμης 



λειτουργία ΔΔ 





/εμπιστευτικών 




κοινού για τις 

ΤΠΕ/ΠΕΥ 

Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής 

>100,000 

 

> 100 εκ 

 


 


πίδραση σε άλλες 

υποδομές- 

/τομείς 

 



μακρύς 


(μήνες - 

χρόνια) 

 



 



της αναπτυξης/εφαρμογής 



 



ζωών 

 





 




σύνολο 

 

10,000-100,000 

 

10 – 100 εκ 

 

Εθνική 

 

Σημαντική επίδραση 



 


υψηλός απαιτούμενος 


(βδομάδες 

– μήνες) 

 



αξιοπιστίας σε 

διεθνές επίπεδο 

 



και 

συναλλακτικής 

δυνατότητας 


 

Απώλεια 

ανθρώπινης 

ζωής 

 

Παραβίαση νομοθεσίας 

και 


πολλών 


 


επηρεασμός του 



 

1,000-10,000 

 

1 – 10 εκ 

 

Περιφερειακή 

 


σε άλλες υ- 


 




(μέρες - 


 



αξιοπιστίας σε 

εθνικό επίπεδο 

 



ανάπτυξης/εφαρμογής 



 

Σοβαρός τραυματισμός 

πολλών 


 

Παραβίαση νομοθεσίας 

και 


ενός προσώπου 

 

Κλονισμός της 

εμπιστοσύνης 

του κοινωνικού 


 

100-1,000 

 

100 χιλ – 1 εκ 

 

Τοπική 

(πολλοί φορείς) 

 


σε άλλες υ- 


 

Χαμηλό 

κόστος, μικρός 



(ώρες - 

μέρες) 

 





φορέων 

 


της σωστής 

διαχείρισης ή 

λειτουργίας ΔΥ 

 

Μικροτραυματι 

σμοί πολλών 


 

Μικρή 


πολλών 


 


επιμέρους ομάδων 

του 


 




Εποπτικοί/Ρυθμιστικοί Φορείς 



290



1) Υπάρχει στην Ελλάδα Εποπτικός Οργανισμός ο οποίος να έχει το ρόλο της Εποπτείας των 

Πολιτικών Ασφαλείας και Ιδιωτικότητας των Πληροφοριακών Συστημάτων των Δημοσίων 

Οργανισμών; 

ΝΑΙ ΟΧΙ 

2) Αν ΝΑΙ, αναφέρατε τον Εποπτικό Οργανισμό: 

………………………………………………………………………………………….. 

3) Αν ΟΧΙ, ποιόν Οργανισμό (ρυθμιστική ή εποπτική Αρχή) θεωρείτε ως τον καταλληλότερο 

για να αναλάβει αυτόν τον ρόλο; 

i. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2) 

ii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2) 

iii. Δημιουργία νέου Εθνικού Εποπτικού Σχήματος: ΝΑΙ ΟΧΙ 

 

iv. Αν ΝΑΙ, με τι μορφή και αρμοδιότητες; Τι συνέργειες θα πρέπει να αναπτύξει με άλλους 

ρυθμιστικούς/εποπτικούς φορείς; 

………………………………………………………………………………………….. 

4) Η ΕΥΠ (ΥΠΕΣ) λειτουργεί ως (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως 

υπεύθυνη του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινωνιών 

και των Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του 

Διαβαθμισμένου Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστική 

πλαισίωση του εθνικού μας CERT θα γίνει από: 

i. Την ίδια την ΕΥΠ: ΝΑΙ ΟΧΙ 

ii. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2) 

iii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2) 

…………………………………………………………………………………………….. 

5) Ποιό προτείνετε ως Οργανωτικό Σχήμα του Εθνικού μας CERT ώστε να επιτύχει την αποτελεσματική 

επικοινωνία με: (α) τους Εποπτικούς Φορείς, (β) τους Δημόσιους Οργανισμούς 

που φιλοξενούν Πληροφοριακά Συστήματα, και (γ) με άλλα Ευρωπαϊκά CERT; 

…………………………………………………………………………………………….. 

6) Στους Πίνακες 1 και 2 παρουσιάζονται συνοπτικά οι Δημόσιοι Φορείς που λειτουργούν ως: 

(α) Ρυθμιστικοί/Κανονιστικοί και (β) Εποπτικοί. 

(δεν αναφέρονται οι φορείς που έχουν ενημερωτικό ρόλο) 

iv. Συμφωνείτε με την συγκεκριμένη αποτύπωση: ΝΑΙ ΟΧΙ 

v. Αναφέρετε τυχόν φορείς που έχουν κατά τη γνώμη σας παραλειφθεί 



291



Φορέας 

Πεδίο δράσης 

Ρόλος 

vi. Σχολιάστε όπως νομίζετε τους Πίνακες 1 και 2 (πχ. τυχόν διορθώσεις, παραλείψεις ανά 

φορέα κλπ.). 

Πίνακας 1: Εποπτικοί/Κανονιστικοί Φορείς Ασφάλειας στην Ελλάδα 

Φορέας Πεδίο δράσης Ρόλοι 

ΓΕΕΘΑ 

ΕΥΠ 

ΕΛΑΣ 

Υπουργείο 

Μεταφορών 

και 

Επικοινωνιών 

Τράπεζα 

Ελλάδος 

Δ/νση Πολιτικής 

Σχεδίασης 

Έκτακτης 

Ανάγκης/ΥΠΕΣ 

Υπηρεσία Ανάπτυξης 

Πληροφορικής 

ΥΠΕΣ 


Δημόσιας 

Τάξης 


Εσωτερικών 

Έκδοση εθνικών 

κανονισμών 


Ασφάλεια Εθνικών 

Επικοινωνιών-Πληροφορικής 

(σύνταξη 

κανονισμών, 

πιστοποίηση 

συστημάτων) 

Εξέταση ψηφιακών 

πειστηρίων 

Χάραξη Πολιτικής 


Έκδοση συγκεκριμένων 

αρχών 

/κανονισμών 


Σχέδια επικινδυνότητας 

/επιχειρησιακής 

συνέχειας 

Διαθεσιμότητα 


στη ΔΔ/Σχέδια 


καταστροφών 

Ειδικές 

Αρχές 



ΑΠ 

INFOSEC, 

CERT για 

ΔΔ 

ΑΠΕΔ 

Χ 


ΑΠ 


ΑΠ 



Χ 

Χ 

Χ 

Χ 

Χ 





Χ 

Χ 

Computer 

Forensics 

Χ 


προϊόντων & 



Χ 

Χ 



292




Υγείας 


Οικονομίας 

και 

Οικονομικών 


ΑΠ 


ΑΠ 

Χ 

Χ 

ΑΠΠΔ 

ΑΔΑΕ 

ΕΕΤΤ 

ΕΦΤΑ 

Πίνακας 2: Ρυθμιστικοί/Ελεγκτικοί Φορείς Ασφάλειας 

Φορέας Πεδίο δράσης Ρόλοι 

GRNET CERT 



Προστασία απορρήτου 

επικοινωνιών 

Ρύθμιση θεμάτων 

τηλεπικοινωνιών 

Πρόληψη 

τηλεπικοινωνιακής απάτης 

Υπηρεσίες ασφάλειας 








Παροχή 

προϊόντων/ 

υποδομών 



προϊόντων & 



Χ Χ Χ 

Χ Χ Χ 

Χ Χ Χ Χ 

Χ 

Ακρωνύμια 

ΕΥΠ: 

Εθνική Υπηρεσία Πληροφοριών 

ΑΠΠΔ: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 

ΑΔΑΕ: Αρχή Διασφάλισης Απορρήτου Επικοινωνιών 

ΕΕΤΤ: Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων 

ΕΦΤΑ: Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης 

GRNET CERT: Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας 

και Τεχνολογίας (ΕΔΕΤ) 

Χ 

Χ 



293



ΠΑΡΑΡΤΗΜΑ Β: Πρόγραμμα Ημερίδας 



Ομάδα Εργασίαςς για την Προστασία Κρίσιμων Πληροφοριακών 


Ημερίδα Διαβούλευσης (10 Ιουλίου 2008) 

Πρόγραμμα 

1. Εισαγωγική Σύνοδος 

Καλωσόρισμα Κ. Τζοάννης Σ. Ξαρχουλάκος, Σ. Καρούσος (15’) 

Παρουσίαση και στόχοι Ομάδας Εργασίας Δ. Γκρίτζαλης (30’) 

Πρόγραμμα και σκοπός Ημερίδας Ν. Μήτρου (15’) 

2. Σύνοδος 1 η : Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά 

σχήματα και εποπτικοί φορείς στην Ελλάδα και διεθνώς 

Συντονιστές: Ν. Μήτρου (προεδρεύων), Δ. Πολέμη, Β. Σκουλαρίδου, Ι. Σαμπράκου 

Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 4 του παραδοτέου και 

διατύπωση βασικών ερωτημάτων από το Ε4) (15’) 

• Συζήτηση (40’) 

• Συμπεράσματα (5’) 

3. Σύνοδος 2 η : Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά 

ζητήματα Ασφάλειας 

Συντονιστές: Π. Κοτζανικολάου (προεδρεύων), Β. Τσούμας, Μ. Θεοχαρίδου 

Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 5 του παραδοτέου και 

διατύπωση βασικών ερωτημάτων από το Ε1) (15’) 



4. Σύνοδος 3 η : Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της 

Δημόσιας Διοίκησης στην Ελλάδα 

Συντονιστές: Δ. Γκρίτζαλης (προεδρεύων), Ν. Μήτρου, Δ. Πολέμη, Α. Ζαχαρής 

Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στις ιδέες της Ο.Ε. για το οργανωτικό 

σχήμα στην Ελλάδα) 

(15΄) 



5. Γενικά Συμπεράσματα - Κλείσιμο Ημερίδας 



294

Gritzalis D., Mitrou N., Skoularidou V. - CIS -Information Security And ...

Create successful ePaper yourself

Delete template?

Save as template?