Gritzalis D., Mitrou N., Skoularidou V. - CIS -Information Security And ...
Gritzalis D., Mitrou N., Skoularidou V. - CIS -Information Security And ...
Gritzalis D., Mitrou N., Skoularidou V. - CIS -Information Security And ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Κοινωνία της Πληροφορίας Α.Ε.<br />
e-Government Forum<br />
Ομάδα Εργασίας για την Προστασία των Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της<br />
Δημόσιας Διοίκησης (CICIP)<br />
Προστασία Κρίσιμων Πληροφοριακών και<br />
Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
Εισηγητής Ομάδας Εργασίας: Αναπλ. Καθ. Δημήτρης Γκρίτζαλης,<br />
Τμήμα Πληροφορικής,, Οικονομικό Πανεπιστήμιο Αθηνών<br />
Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών<br />
της Δημόσιας Διοίκησης:<br />
Στρατηγικός Σχεδιασμός<br />
Επιστημονική Επιμέλεια:<br />
Δημήτρης Γκρίτζαλης, Οικονομικό Πανεπιστήμιο Αθηνών<br />
Νίκος Μήτρου, Εθνικό Μετσόβιο Πολυτεχνείο<br />
Βικτωρία Σκουλαρίδου, Υπουργείο Εσωτερικών<br />
eGovForum-CICIP-D1-v2.3.1/29.09.2008<br />
Σεπτέμβρης 2008
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σύνθεση Ομάδας Εργασίας<br />
Συντονιστής:<br />
Εισηγητής:<br />
Μέλη (αλφαβητικά):<br />
Σπύρος Καρούσος<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
Δημήτρης Γκρίτζαλης<br />
Αναπληρωτής Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών<br />
Αλέξανδρος Ζαχαρής<br />
Εμπορικός Διευθυντής SYNET, Eκπρόσωπος ΣΕΠΕ<br />
Μαριάνθη Θεοχαρίδου<br />
Ερευνήτρια, Οικονομικό Πανεπιστήμιο Αθηνών<br />
Παναγιώτης Κοτζανικολάου<br />
Ειδικός Επιστήμονας, Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ)<br />
Δημήτριος Λέκκας<br />
Λέκτορας, Πανεπιστήμιο Αιγαίου<br />
Νίκος Μήτρου<br />
Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο<br />
Δέσποινα Πολέμη<br />
Επίκουρη Καθηγήτρια, Πανεπιστήμιο Πειραιώς<br />
Ιωάννα Σαμπράκου<br />
Μηχανικός Η/Υ και Πληροφορικής, Σύμβουλος Υπουργού Μεταφορών και Ε-<br />
πικοινωνιών<br />
Βικτωρία Σκουλαρίδου<br />
Υπαστυνόμος Α’ (Ειδικών Καθηκόντων) Πληροφορικής, Ελληνική Αστυνομία,<br />
Υπουργείο Εσωτερικών<br />
Βασίλης Τσούμας<br />
Senior Manager, Ernst και Young Α.Ε.<br />
Γραμματεία:<br />
Αγγελική Κλάδη<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
Επιτροπή Παρακολούθησης και Παραλαβής Έργου<br />
Πρόεδρος:<br />
Μέλη:<br />
Στέφανος Ξαρχουλάκος<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
Ηλίας Κοντάκος<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
Θεόδωρος Σαμπατακάκης<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
2
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
“ Α ι τ ι μ α ί μ ε γ ά λ α ι α ν α π ο κ τ ε ί ν ε ι τ ι ς ο υ κ λ έ π τ ε ι ν , α λ λ ά τ ύ ρ α ν ν ο ν ”<br />
Aριστοτέλης<br />
Περίληψη 1 :<br />
Η λειτουργία της σύγχρονης Δημόσιας Διοίκησης εξαρτάται, σε ολοένα και μεγαλύτερο<br />
βαθμό, από την εύρυθμη λειτουργία των πληροφοριακών και επικοινωνιακών<br />
υποδομών της. Οι υποδομές αυτές είναι εκτεθειμένες σε σωρεία απειλών, οι ο-<br />
ποίες μπορεί να προκαλέσουν την υποβάθμιση ή τη διακοπή της λειτουργίας τους,<br />
πράγμα που θα προκαλέσει, με τη σειρά του, την υποβάθμιση ή τη διακοπή των<br />
παρεχόμενων υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για την αποφυγή του ενδεχομένου<br />
αυτού η σύγχρονη Δημόσια Διοίκηση, διεθνώς, έχει καταφύγει στη σχεδίαση,<br />
ανάπτυξη και θέση σε λειτουργία σειράς οργανωτικών και διοικητικών σχημάτων,<br />
τα οποία αποβλέπουν στην αντιμετώπιση των σχετικών απειλών. Στο παρόν<br />
παραδοτέο προτείνεται ένα τέτοιο σχήμα, με στόχο την προστασία των κρίσιμων<br />
πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας Διοίκησης.<br />
Για τη σχεδίαση του σχήματος αυτού λήφθηκε υπόψη τόσο η σχετική διεθνής<br />
εμπειρία - η οποία περιγράφεται συνοπτικά και συστηματικά στο κείμενο - όσο<br />
και ορισμένες υπάρχουσες και αναπτυσσόμενες κρίσιμες υπηρεσίες ηλεκτρονικής<br />
διακυβέρνησης στην Ελλάδα (πχ. Σύζευξις, ΤaxisNET, Κέντρα Εξυπηρέτησης Πολιτών,<br />
Κέντρα Δεδομένων ΚτΠ Α.Ε κλπ.). Για τη συστηματικότερη μελέτη του ζητηματος<br />
διοργανώθηκε ειδική ημερίδα διαβούλευσης με ενδιαφερόμενα μέρη, στα<br />
οποία δόθηκε η ευκαιρία να διατυπώσουν τις σχετικές θέσεις και προτάσεις τους.<br />
Οι απόψεις αυτές καταγράφονται στο παρόν παραδοτέο. Το προτεινόμενο σχήμα<br />
περιγράφεται στο παραδοτέο αναλυτικά, πλαισιούμενο από σειρά εναλλακτικών<br />
λύσεων που αφορούν τη δομή του, μια από τις οποίες θα μπορούσε να υιοθετηθεί<br />
από την αρμόδια πολιτική ηγεσία για την έγκαιρη και αποτελεσματική προστασία<br />
των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας<br />
Διοίκησης. Στο παραδοτέο περιλαμβάνοναι, επίσης, για λόγους πληρότητας,<br />
τρία ενδεικτικά σενάριο αξιοποίησης του προτεινόμενου φορέα σε περιπτώσεις<br />
μείζονων κρίσεων.<br />
Λέξεις κλειδιά: Κρίσιμες Υποδομές, Προστασία Κρίσιμων Υποδομών, Πληροφοριακές Υποδομές,<br />
Επικοινωνιακές Υποδομές, Ασφάλεια Πληροφοριών, Ασφάλεια Υπολογιστών, Α-<br />
σφάλεια Δικτύων, Ασφάλεια Πληροφοριακών Συστημάτων, Ηλεκτρονική Διακυβέρνηση.<br />
Ευχαριστίες:<br />
Τα μέλη της ΟΕ εκφράζουμε τις θερμές ευχαριστίες μας στη Συντονιστική Επιτροπή<br />
του e-Government Forum και στο Διοικητικό Συμβούλιο της ΚτΠ Α.Ε. για την<br />
ανάθεση του παρόντος έργου. Επίσης, ευχαριστούμε ιδιαίτερα τους (αλφαβητικά)<br />
κκ. Κώστα Βασιλείου (ΚτΠ), Στέφανο Ξαρχουλάκο (ΚτΠ), Στάθη Παναγιωτόπουλο<br />
(ΥΠΟΙΚ), Κώστα Τζοάννη (ΚτΠ) και Πέτρο Τσώνη (ΚτΠ), καθώς και όλους<br />
τους συναδέλφους που συμμετείχαν στη διαδικασία διαβούλευσης.<br />
1 Η επιτελική σύνοψη του παραδοτέου παρατίθεται (σελ. 10-24) ειδικά για τους αναγνώστες που ενδιαφέρονται<br />
για μια μεστή και συνοπτική ενημέρωση για το περιεχόμενο, τα συμπεράσματα και τις προτάσεις που<br />
περιλαμβάνονται στο παραδοτέο, χωρίς τεχνικές λεπτομέρειες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
3
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Τα αναφερόμενα στο παρόν πόνημα απηχούν, αυστηρά και μόνον, τις προσωπικές απόψεις των<br />
μελών της Ομάδας Εργασίας. Δεν εκφράζουν, κατ’ ανάγκην, ούτε δεσμεύουν με οποιονδήποτε τρόπο<br />
τη Συντονιστική Επιτροπή του eGovernment Forum, το Διοικητικό Συμβούλιο της Κοινωνίας της<br />
Πληροφορίας Α.Ε. ή οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο.<br />
Η ακρίβεια των περιεχομένων του κειμένου ελέγχθηκε με βάση τους διαθέσιμους πόρους και τα<br />
διαθέσιμα μέσα κατά το χρόνο της συγγραφής του. Παραταύτα, τυχόν σποραδικές αποκλίσεις από τα<br />
κατά περίπτωση ισχύοντα δεν μπορούν να αποκλεισθούν και, εάν υπάρχουν, βαρύνουν αποκλειστικά<br />
και μόνο τα μέλη της Ομάδας Εργασίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
4
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ<br />
ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ ................................................................................................................... 10<br />
1. ΕΙΣΑΓΩΓΗ ΚΑΙ ΣΤΟΧΟΙ ΤΟΥ ΕΡΓΟΥ................................................................................. 26<br />
2. ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ΚΑΙ ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ ....................................... 28<br />
2.1 ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ..................................................................................................................28<br />
2.2 ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ................................................................................................................................29<br />
3. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ<br />
ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ ................................. 36<br />
3.1 ΕΙΣΑΓΩΓΗ................................................................................................................................................36<br />
3.2 ΚΡΙΣΙΜΕΣ ΥΠΟΔΟΜΕΣ ΚΑΙ ΠΡΟΣΕΓΓΙΣΕΙΣ CICIP .....................................................................................36<br />
3.2.1 Κρίσιμες Υποδομές.......................................................................................................................36<br />
3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP............................................................................36<br />
3.2.3 Προσεγγίσεις CIP.........................................................................................................................37<br />
3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων ...........................................................................................38<br />
3.3 ΚΑΤΑΓΡΑΦΗ ΟΡΓΑΝΩΤΙΚΩΝ ΣΧΗΜΑΤΩΝ ................................................................................................38<br />
3.3.1 Εισαγωγή .....................................................................................................................................38<br />
3.3.2 Ευρώπη........................................................................................................................................39<br />
3.3.3 Χώρες εκτός Ευρώπης..................................................................................................................58<br />
3.3.4 Άλλες Χώρες.................................................................................................................................74<br />
3.3.5 Διεθνείς Οργανισμοί.....................................................................................................................74<br />
3.3.6 Διεθνείς Φορείς............................................................................................................................79<br />
3.3.7 Άλλοι Διεθνείς Οργανισμοί...........................................................................................................80<br />
3.4 ΑΠΟΤΙΜΗΣΗ ΚΑΙ ΣΥΓΚΡΙΣΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ .......................................................................................80<br />
3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP ..........................................................80<br />
3.5 ΠΡΟΤΕΙΝΟΜΕΝΟ ΠΛΑΙΣΙΟ CICIP ............................................................................................................81<br />
3.5.1 Προτεινόμενο Μοντέλο συνεργασίας............................................................................................81<br />
4. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΚΑΙ ΕΠΟΠΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ<br />
ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗΝ ΕΛΛΑΔΑ ...................................................... 86<br />
4.1 ΕΙΣΑΓΩΓΗ................................................................................................................................................86<br />
4.2 ΕΛΛΗΝΙΚΟΙ ΕΠΟΠΤΙΚΟΙ/ΚΑΝΟΝΙΣΤΙΚΟΙ/ΔΙΩΚΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ................................................86<br />
4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας................................................................................................86<br />
4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ.............................................................................86<br />
4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ.......................................................86<br />
4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ ....................................................................87<br />
4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών ...................................................................................87<br />
4.2.6 Τράπεζα Ελλάδος .........................................................................................................................88<br />
4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών...................................................88<br />
4.3 ΡΥΘΜΙΣΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ...........................................................................................................89<br />
4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) ................................................89<br />
4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ).................................................................91<br />
4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)...................................................93<br />
4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας<br />
(GRNET-CERT)...........................................................................................................................95<br />
4.3.5 European Network <strong>Information</strong> <strong>Security</strong> Agency (ENISA)..........................................................95<br />
4.4 ΕΛΛΗΝΙΚΟΙ ΦΟΡΕΙΣ/ΙΣΤΟΧΩΡΟΙ ΕΝΗΜΕΡΩΣΗΣ .......................................................................................98<br />
4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ) ............................................99<br />
4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας.........................................99<br />
4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus ....................................................100<br />
4.4.4 SafeLine.....................................................................................................................................100<br />
4.4.5 DART (Digital Awareness and Response to Threats)................................................................100<br />
4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α)....................................................................................101<br />
4.4.7 Ινστιτούτο Ερευνών / Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιαοανατολικής<br />
Ευρώπης (ΙΝΑ) ..........................................................................................................................102<br />
4.5 ΣΥΓΚΕΝΤΡΩΤΙΚΗ ΠΑΡΟΥΣΙΑΣΗ ΦΟΡΕΩΝ ................................................................................................103<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
5
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5. ΚΡΙΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΑΚΕΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΕΣ ΥΠΟΔΟΜΕΣ ΤΗΣ<br />
ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ............................................................................. 107<br />
5.1 ΑΞΙΟΛΟΓΗΣΗ ΚΡΙΣΙΜΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΤΗΣ ΔΗΜΟΣΙΑΣ<br />
ΔΙΟΙΚΗΣΗΣ ............................................................................................................................................107<br />
5.1.1 Σκοπός.......................................................................................................................................107<br />
5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας...........................................................107<br />
5.1.3 Κριτήρια επικινδυνότητας ..........................................................................................................108<br />
5.1.4 Ταξινόμηση και αποτίμηση επιπτώσεων σε ΠΕΥ ΔΔ ..................................................................110<br />
5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ ............................................................................112<br />
5.2 ΔΙΚΤΥΟ ‘ΣΥΖΕΥΞΙΣ’..............................................................................................................................117<br />
5.2.1 Στοιχεία ταυτότητας έργου .........................................................................................................117<br />
5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου ......................................................................................................119<br />
5.2.3 Παρεχόμενες υπηρεσίες..............................................................................................................121<br />
5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ......................................................................................121<br />
5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου...............................................................................................122<br />
5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής.............................................123<br />
5.2.7 Ένταξη στις εθνικές ΠΕY ...........................................................................................................123<br />
5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής....................................................124<br />
5.2.9 Συμπεράσματα............................................................................................................................126<br />
5.3 TAXISNET............................................................................................................................................127<br />
5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας..................................................127<br />
5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης ......................................................................................129<br />
5.3.3 TAXISnet....................................................................................................................................132<br />
5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet .................................................................................135<br />
5.3.5 Υφιστάμενο επίπεδο ασφάλειας ..................................................................................................140<br />
5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις................................................................142<br />
5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής......................................142<br />
5.3.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής....................................................142<br />
5.3.9 Συμπεράσματα............................................................................................................................145<br />
5.4 DATA CENTERS ΚΤΠ ΑΕ ......................................................................................................................146<br />
5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης.............147<br />
5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού ........................................153<br />
5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου<br />
(ΥΛΠΗΣΔΕΔ) ............................................................................................................................158<br />
5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Υγείας, Δημόσιας<br />
Υγιεινής και Κοιvωνικής Πρόνοιας............................................................................................162<br />
5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Εμπορίου και<br />
Ανωνύμων Εταιριών ..................................................................................................................167<br />
5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή Πολεοδομίας<br />
...................................................................................................................................................173<br />
5.4.7 ΡΑΠΤΑΡΧΗΣ ............................................................................................................................180<br />
5.4.8 Εθνική Πύλη ΕΡΜΗΣ................................................................................................................183<br />
5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων<br />
...................................................................................................................................................195<br />
5.4.10 Αρχιτεκτονική ΟΠΣ/Δικτύου ......................................................................................................196<br />
5.4.11 Πολεοδομία ΙΙ ............................................................................................................................198<br />
5.4.12 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής.............................................201<br />
5.4.13 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής....................................................202<br />
5.4.14 Συμπεράσματα............................................................................................................................205<br />
5.5 ΟΠΣ ΚΕΠ.............................................................................................................................................206<br />
5.5.1 Στοιχεία ταυτότητας έργου .........................................................................................................206<br />
5.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου ......................................................................................................206<br />
5.5.3 Παρεχόμενες Υπηρεσίες .............................................................................................................209<br />
5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ......................................................................................210<br />
5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου...............................................................................................213<br />
5.5.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής.............................................215<br />
5.5.7 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής....................................................215<br />
5.5.8 Συμπεράσματα............................................................................................................................218<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
6
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6. ΠΡΟΤΕΙΝΟΜΕΝΟ ΟΡΓΑΝΩΤΙΚΟ ΣΧΗΜΑ....................................................................... 221<br />
6.1 ΠΕΡΙΓΡΑΦΗ ...........................................................................................................................................221<br />
6.1.1 Μορφές οργάνωσης....................................................................................................................221<br />
6.1.2 Οργανωτικό Σχήμα ....................................................................................................................223<br />
6.2 ΕΠΙΜΕΡΟΥΣ ΟΜΑΔΕΣ.............................................................................................................................226<br />
6.2.1 Συντονιστική Επιτροπή...............................................................................................................226<br />
6.2.2 Ομάδα Ελέγχου ..........................................................................................................................227<br />
6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων ....................................................................................230<br />
6.2.4 Ομάδα Διαχείρισης Κρίσεων......................................................................................................231<br />
6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών.................................................................232<br />
6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη...................................................................................233<br />
6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών...............................................................................235<br />
6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation)............................................................236<br />
6.2.9 Αλλες ομάδες..............................................................................................................................237<br />
6.3 ΕΝΔΕΙΚΤΙΚΑ ΣΕΝΑΡΙΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΚΡΙΣΙΜΑ ΠΛΗΡΟΦΟΡΙΑΚΑ & ΕΠΙΚΟΙΝΩΝΙΑΚΑ<br />
ΣΥΣΤΗΜΑΤΑ ΤΗΣ ΔΔ.............................................................................................................................239<br />
6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ ....239<br />
6.3.2 Σενάριο 2 - Άγνωστου τύπου Επίθεση στο Υπουργείο Χ .............................................................241<br />
6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος) ..............................244<br />
7. ΔΙΑΒΟΥΛΕΥΣΗ........................................................................................................................ 248<br />
7.1 ΕΙΣΑΓΩΓΗ – ΑΝΑΓΚΗ ΓΙΑ ΔΙΑΒΟΥΛΕΥΣΗ...............................................................................................248<br />
7.2 ΠΡΩΤΟΒΟΥΛΙΕΣ ΔΙΑΒΟΥΛΕΥΣΗΣ...........................................................................................................248<br />
7.3 ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ – ΣΥΝΟΠΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ..............................................................................249<br />
7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1...................................................250<br />
7.3.2 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε2...................................................251<br />
7.3.3 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε3...................................................252<br />
7.4 ΗΜΕΡΙΔΑ ΔΙΑΒΟΥΛΕΥΣΗΣ .....................................................................................................................253<br />
7.4.1 Σκοπός και διάρθρωση ..............................................................................................................253<br />
7.4.2 Επί μέρους θέματα συζήτησης ...................................................................................................253<br />
7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα .................................................................................254<br />
8. ΣΥΜΠΕΡΑΣΜΑΤΑ - ΠΡΟΤΑΣΕΙΣ ....................................................................................... 257<br />
8.1 ΚΩΔΙΚΟΠΟΙΗΣΗ ΣΥΜΠΕΡΑΣΜΑΤΩΝ ΚΑΙ ΠΡΟΤΑΣΕΩΝ.............................................................................257<br />
8.2 ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΑΡΕΜΒΑΣΕΙΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΚΡΙΣΙΜΩΝ ΠΕΥ ΤΗΣ ΔΔ ..............................259<br />
ΒΙΒΛΙΟΓΡΑΦΙΑ .............................................................................................................................. 261<br />
ΑΚΡΩΝΥΜΙΑ .................................................................................................................................. 266<br />
ΠΑΡΑΡΤΗΜΑ Α: ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ .................................................................................... 275<br />
ΠΑΡΑΡΤΗΜΑ Β: ΠΡΟΓΡΑΜΜΑ ΗΜΕΡΙΔΑΣ .......................................................................... 294<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
7
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΣΧΗΜΑΤΑ<br />
Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07] .............................................................29<br />
Σχήμα 2: Μέθοδος εργασίας O.E. CICIP.............................................................................................34<br />
Σχήμα 3: Πυλώνες CICIP [Sut-07].......................................................................................................37<br />
Σχήμα 4: Αρμοδιότητες BMI [BSI-05b] ..............................................................................................41<br />
Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b].......................................................42<br />
Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b]..........................43<br />
Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP..................................................................................66<br />
Σχήμα 8: European Unio - From PASR to the FP7 Theme «<strong>Security</strong>» (Πηγή: <strong>Information</strong> Day on<br />
Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)........................................78<br />
Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: <strong>Information</strong> Day on Critical<br />
Infrastructure Protection Joint Call, Brussels, 27 September 2007).....................................................79<br />
Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07]....................................................................82<br />
Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07]..................................................................82<br />
Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07] ....................................................83<br />
Σχήμα 13: Δομή CCB [Sut-07] ............................................................................................................83<br />
Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07]............................................................................84<br />
Σχήμα 15: Σύγκριση CCB και OCB [Sut-07].......................................................................................84<br />
Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας..............................................................................89<br />
Σχήμα 17: Αρμοδιότητες ENISA .........................................................................................................97<br />
Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι<br />
αναφερόμενες τιμές είναι ενδεικτικές) ...............................................................................................111<br />
Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική<br />
διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές)...............................112<br />
Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’...........................................................................120<br />
Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet........................................................................137<br />
Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet..............................................................138<br />
Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης<br />
(Πηγή: Μελέτη Εφαρμογής Αναδόχου) .............................................................................................149<br />
Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)................150<br />
Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη<br />
Εφαρμογής Αναδόχου).......................................................................................................................155<br />
Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού<br />
περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ......................................................................159<br />
Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου)...........169<br />
Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...................174<br />
Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου).....................................185<br />
Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου)....................................186<br />
Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου)............194<br />
Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή:<br />
Μελέτη Εφαρμογής Αναδόχου) .........................................................................................................196<br />
Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...................................199<br />
Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...........................200<br />
Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)............207<br />
Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα.....................................................................................224<br />
Σχήμα 38: Διασύνδεση με άλλους φορείς ..........................................................................................225<br />
Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου.......................................................................................229<br />
Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2.............................................................................243<br />
Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3.............................................................................246<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
8
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΙΝΑΚΕΣ<br />
Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP ....................................................................80<br />
Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP ....................................................................81<br />
Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07] .............................................82<br />
Πίνακας 4: Στόχοι ENISA....................................................................................................................97<br />
Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί Φορείς Ασφάλειας....................................................................104<br />
Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα...............................................105<br />
Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων.....108<br />
Πίνακας 8: Αποτίμηση επιπτώσεων [NCIAP-04] ..............................................................................110<br />
Πίνακας 9: Κριτήρια επιλογής Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της<br />
Δημόσιας Διοίκησης (ΠΕΥ ΔΔ).........................................................................................................114<br />
Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας<br />
Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές)....................................................................................................116<br />
Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής ..............................................................125<br />
Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ ..........................................................130<br />
Πίνακας 13: Ταυτότητα έργου TAXISnet..........................................................................................132<br />
Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης..........................................139<br />
Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής ..............................................................142<br />
Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet.............................144<br />
Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ ....................................................................................146<br />
Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε.............................................................147<br />
Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης...148<br />
Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογ/μός Τουρισμού και Παρατηρητήριο Τουρισμού....153<br />
Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ.........................................................................159<br />
Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας ........163<br />
Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E...............................................................168<br />
Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας ......................................................................174<br />
Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ...................................................................................180<br />
Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ.......................................................................184<br />
Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων....196<br />
Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ ..........................................................................198<br />
Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών..204<br />
Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ .........................................................................................206<br />
Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών..217<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
9
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ<br />
Εισαγωγή και οριοθέτηση έργου<br />
Η ραγδαία διείσδυση των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη Δημόσια Διοίκηση<br />
(ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων πληροφοριακών συστημάτων και της διάχυσης<br />
και συνδυαστικής αξιοποίησης των ευρυζωνικών επικοινωνιακών υποδομών, επέφερε σημαντικές<br />
και πολλαπλές διαφοροποιήσεις στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (e-Government<br />
services). Μια από τις βασικές διαφοροποιήσεις είναι η μετατόπιση του κέντρου βάρους των ζητημάτων<br />
Ασφάλειας στις ΤΠΕ από την Ασφάλεια Πληροφοριακών Συστημάτων (ΠΣ) στην Προστασία<br />
Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών 2 .<br />
Στις τρέχουσες συνθήκες,, το διακύβευμα της προστασίας τείνει να μην είναι μόνον - ή κυρίως - τα<br />
Ολοκληρωμενα Πληροφοριακά Συστήματα, αλλά πρωτίστως οι Κρίσιμες Πληροφοριακές και Επικοινωνιακές<br />
Υποδομές (ΠΕΥ). Αυτό ισχύει γιατί μέσω των υποδομών αυτών καθίσταται δυνατή -<br />
αλλά και από αυτές εξαρτάται σε μεγάλο βαθμό - η λειτουργία των πληροφοριακών συστημάτων της<br />
ΔΔ, καθώς και η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για να επιτευχθεί η αναγκαία<br />
προστασία των κρίσιμων ΠΕΥ της ΔΔ απαιτείται έγκαιρη, μεθοδική και συστηματική εργασία των<br />
αρμόδιων φορέων της Πολιτείας, σε συνεργασία με τα ενδιαφερόμενα μέρη, όπως οι πανεπιστημιακοί<br />
και ερευνητικοί φορείς που δραστηριοποιούνται στη γνωστική αυτή περιοχή, οι επιχειρήσεις του<br />
κλάδου των ΤΠΕ, αλλά και οι εκπρόσωποι των εργαζομένων και της κοινωνίας των πολιτών.<br />
Οι αναγκαίες πρωτοβουλίες δεν πρέπει να περιορίζονται μόνον - ούτε κυρίως - στην ταχεία και αποτελεσματική<br />
επίλυση των όποιων μείζονων προβλημάτων τυχόν εμφανιστούν, αλλά πολύ περισσότερο,<br />
στην προληπτική αντιμετώπιση και την αποφυγή των προβλημάτων αυτών. Ειδικά σε χώρες όπως<br />
η Ελλάδα, όπου η εφαρμογή των ΤΠΕ έχει σημαντικά περιθώρια περαιτέρω βελτίωσης, αλλά και η ε-<br />
μπιστοσύνη των πολιτών στη ΔΔ είναι ακόμη σχετικά περιορισμένη, η ασφαλής και ποιοτική παροχή<br />
υπηρεσιών ηλεκτρονικής διακυβέρνησης αποτελεί μείζονα στόχο των εμπλεκομένων επιστημόνων<br />
και τεχνικών, αλλά και βασικό μέσο για τη σταδιακή καταξίωση της ΔΔ.<br />
Η δυνατότητα προληπτικής αντιμετώπισης των απειλών που αντιμετωπίζουν οι ΠΕΥ της ΔΔ προϋποθέτει<br />
οργάνωση, σχεδιασμό, ενημέρωση, συνεργασία και διαρκή εξάσκηση. Για να υπάρξει πραγματική<br />
δυνατότητα πρόληψης χρειάζεται αξιόλογη επένδυση σε ανθρώπινους και υλικούς πόρους, Η ε-<br />
πένδυση αυτή, που πρωτίστως αποτελεί στόχο και καθήκον της ΔΔ έναντι των πολιτών, μπορεί να α-<br />
ποσβεσθεί γρήγορα μέσω του πολύ σημαντικού οικονομικού οφέλους που προκύπτει από την αποφυγή<br />
μείζονων προβλημάτων στη λειτουργία των ΠΕΥ της ΔΔ 3 .<br />
2<br />
3<br />
Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων,<br />
υπηρεσιών και αγαθών, για τη λειτουργία της ΔΔ, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών.<br />
Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, διακοπή ή δυσλειτουργία<br />
έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της ΔΔ ή/και της<br />
Οικονομίας.<br />
Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών, υπηρεσιών επικοινωνίας<br />
ή άλλων ηλεκτρονικών υπηρεσιών.<br />
Κρίσιμη ΠΕΥ (Critical <strong>Information</strong> and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό σύστημα που<br />
είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών.<br />
Προστασία Κρίσιμης ΠΕΥ (Critical <strong>Information</strong> and Communication Infrastructure Protection): Ενέργειες των κατόχων,<br />
κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών<br />
αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων,<br />
καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα.<br />
Σε περιπτώσεις επιτυχών προληπτικών δράσεων συμβαίνει το εξής φαινόμενο. Όσο πιο αποτελεσματική είναι η προστασία<br />
ενός ΠΣ, τόσο λιγότερα περιστατικά ανασφάλειας συμβαίνουν. Όσο λιγότερα περιστατικά συμβαίνουν, τόσο λιγότερη<br />
συζήτηση γίνεται σε θέματα ασφάλειας. Το γεγονός αυτό συχνά υποβιβάζει την ασφάλεια στην agenda της κοινής<br />
γνώμης, αλλά και των διοικήσεων ορισμένων φορέων και οργανισμών. Πιθανή συνέπεια αυτού είναι ο περιορισμός των<br />
επενδύσεων σε θέματα ασφάλειας και - ως εκ τούτου - η εμφάνιση μιας νέας απειλής. Αντίθετα, η κατά καιρούς εμφάνιση<br />
μείζονων περιστατικών ανασφάλειας (horror stories) προκαλεί αύξηση των επενδύσεων σε ασφάλεια. Τελικά, η εμπειρία<br />
αποδεικύει ότι η επιτυχής πρόληψη προκαλεί εφησυχασμό, ο οποίος αποτελεί βασική απειλή για την ασφάλεια.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
10
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Δεδομένης της ιεραρχικής δομής και λειτουργίας της ΔΔ, η προστασία των κρίσιμων ΠΕΥ της αποτελεί<br />
το αντικείμενο μιας από τις πρωτουβουλίες που ήταν εφικτό και σκόπιμο να αναλάβει η ίδια η<br />
ΔΔ. Η πρωτοβουλία αυτή αναλήφθηκε μέσω των δράσεων του e-Government Forum 4 , το οποίο χρηματοδοτείται<br />
από το Επιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας”. Ειδικότερα, στο πλαίσιο<br />
του e-Government Forum συστήθηκε Ομάδα Εργασίαςς (OE) εμπειρογνωμόνων, με αντικείμενο<br />
την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
(Critical <strong>Information</strong> and Communication Infrastructure Protection, CICIP). Οι βασικοί στοχοι<br />
της ΟE ήσαν:<br />
α. H αποτελεσματική αξιοποίηση της τεχνογνωσίας της ακαδημαϊκής και επιχειρηματικής κοινότητας<br />
σε θέματα προστασίας κρίσιμων ΠΕΥ.<br />
β. Η προώθηση της σύζευξης ΤΠΕ και διοικητικής δράσης, μέσω της προδιαγραφής του οργανωτικού<br />
σχήματος που είναι αναγκαίο για την αποτελεσματική προστασία κρίσιμων ΠΕΥ της ΔΔ.<br />
γ. Η πρόταση δράσεων για την αξιοποίηση των δυνατοτήτων του επιχειρηματικού τομέα του χώρου<br />
των ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υ-<br />
ποστήριξη του οργανωτικού σχήματος που θα προταθεί.<br />
Μέθοδος εργασίας<br />
Το παρόν πόνημα αποτελεί το αποτέλεσμα της εργασίας της ΟE CICIP. Το κείμενο επικεντρώνεται<br />
στην περιγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, το οποίο προτείνεται<br />
να δημιουργηθεί, στο πλαίσιο της λειτουργίας της ΔΔ, με στόχο την προστασία των κρίσιμων ΠΕΥ<br />
της ΔΔ.<br />
Η μέθοδος που επελέγη για τη σχεδίαση του οργανωτικού σχήματος προστασίας των κρίσιμων ΠΕΥ<br />
της ΔΔ αποτελείται από τα εξής εφτά βήματα:<br />
1<br />
Διεθνή<br />
οργανωτικά<br />
σχήματα<br />
για την προστασία<br />
κρίσιμων ΠΕΥ<br />
2<br />
Τρέχον<br />
οργανωτικό<br />
πλαίσιο<br />
και πρακτικές<br />
Στρατηγικός Σχεδιασμός για την<br />
Προστασία Κρίσιμων<br />
Πληροφοριακών & Επικοινωνιακών<br />
Υποδομών της Δημόσιας Διοίκησης<br />
7<br />
Δημόσια παρουσίαση<br />
& κριτική αξιολόγηση<br />
αποτελεσμάτων<br />
6<br />
Προδιαγραφή<br />
οργανωτικού<br />
σχήματος<br />
3<br />
Κρίσιμες<br />
ΠΕΥ της<br />
Δημόσιας<br />
Διοίκησης<br />
4<br />
Αξιολόγηση<br />
των ΠΕΥ ΔΔ<br />
ως προς την<br />
κρισιμότητα<br />
5<br />
Οργανωμένη<br />
διαβούλευση<br />
Βήμα 1: Καταγραφή και αξιολόγηση ώριμων οργανωτικών<br />
σχημάτων που λειτουργούν διεθνώς και α-<br />
φορούν προστασία κρίσιμων ΠΕΥ. Ειδικότερα, έγινε<br />
αναλυτική επισκόπηση των σχετικών οργανωτικών<br />
σχημάτων που έχουν αναπτυχθεί σε διάφορες<br />
χώρες (εντός και εκτός ΕΕ), καθώς και σχετικών<br />
δράσεων και πρωτοβουλιών που έχουν αναληφθεί α-<br />
πό εθνικούς και διεθνείς oργανισμούς. Ειδικότερη α-<br />
νάλυση έγινε για ορισμένες επιλεγμένες χώρες (Γερμανία,<br />
Ελβετία, Ενωμένο Βασίλειο, ΗΠΑ, Καναδάς,<br />
Νέα Ζηλανδία, Ολλανδία και Σουηδία).<br />
Βήμα 2: Καταγραφή οργανωτικών σχημάτων προστασίας<br />
ΠΕΥ και διαχείρισης κρίσεων, που λειτουργούν<br />
σήμερα στο πλαίσιο της ελληνικής Δημόσιας<br />
Διοίκησης, καθώς και των επιχειρησιακών πρακτικών<br />
που αφορούν τις κρίσιμες ΠΕΥ. Ειδικότερα, α-<br />
ναζητήθηκαν οι οργανισμοί και φορείς που μπορεί να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας<br />
Διοίκησης και έχουν ρόλο που σχετίζεται με προστασία κρίσιμων ΠΕΥ. Η καταγραφή περιέλαβε<br />
εποπτικούς/κανονιστικούς φορείς, ρυθμιστικούς φορείς ασφάλειας, καθώς και φορείς 5 ενημέρωσης<br />
για τέτοια θέματα στον ελληνικό χώρο.<br />
Βήμα 3: Εντοπισμός και περιγραφή κρίσιμων ΠΕΥ της ΔΔ στην Ελλάδα. Δεδομένου ότι δεν θα ήταν<br />
ρεαλιστικό να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες<br />
4<br />
Σύσταση του e-Government Forum, ΦΕΚ 1517/2006, τ. Β’, σελ. 20241-20246, 16.10.2006.<br />
5 Αν και καταβλήθηκε σύντονη προσπάθεια ο σχετικός κατάλογος νάναι πλήρης, δεν μπορεί να αποκλειστεί η<br />
περίπτωση κάποιος τέτοιος φορέας να διέλαθε της προσοχής των μελών της Ο.Ε. Στην περίπτωση αυτή παρακαλούμε<br />
για την κατανόηση του φορέα που παραλήφθηκε, αλλά και του αναγνώστη.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
11
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΕΥ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε σε σχετική προσέγγιση της ΕΕ, με βάση<br />
την οποία καθορίστηκαν 20 υπηρεσίες 6 ως οι βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα<br />
κράτη-μέλη της. Οι υπηρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως<br />
υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. Οι ΠΕΥ αυτές μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση,<br />
αλλά και με συνεντεύξεις με στελέχη της ΚτΠ Α.Ε. που διετέλεσαν υπεύθυνοι ανάπτυξης των ΠΕΥ.<br />
Βήμα 4: Αξιολόγηση των ΠΕΥ της ΔΔ ως προς την κρισιμότητα. Αρχικός στόχος ήταν η επιλογή κατάλληλων<br />
κριτηρίων για την αξιολόγηση των ΠΕΥ που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα<br />
βήματα, ως προς την κρισιμότητά τους. Επίσης, η περιγραφή μιας συγκεκριμένης μεθόδου που<br />
θα επιτρέψει μια τέτοια αξιολόγηση. Η μέθοδος που τελικά επελέγη επιτρέπει τη δυαδική ταξινόμηση<br />
των ΠΕΥ ΔΔ σε κρίσιμες ΠΕΥ (ζωτικής σημασίας) και μη κρίσιμες ΠΕΥ (μη ζωτικής σημασίας). Η<br />
μέθοδος που επελέγη για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίστηκε σε δύο παραμέτρους:<br />
(α). Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ και<br />
(β). την ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Ο χαρακτηρισμός μιας<br />
ΠΕΥ ως κρίσιμης βασίστηκε στο συνδυασμό της έντασης κάθε επίπτωσης, η οποία επέρχεται από<br />
τον περιορισμό της διαθεσιμότητας της ΠΕΥ (με βάση το θεωρητικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο”<br />
7 ). Η τελική επιλογή των κρίσιμων ΠΕΥ ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής<br />
επαγγελματικής εμπειρογνωμοσύνης (professional judgement).<br />
Βήμα 5: Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο<br />
αυτό, είτε εκτιμάται εύλογα ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Η διαβούλευση οργανώθηκε<br />
σε τέσσερις φάσεις: (α). Επιλογή συμμετεχόντων στη διαβούλευση, (β). Σύνταξη-αποστολή<br />
ειδικά σχεδιασμένων ερωτηματολογίων, (γ). Συλλογή-επεξεργασία απαντήσεων και (δ). Διοργάνωση<br />
και διεξαγωγή ημερίδας μεταξύ των μελών της ΟΕ και των εμπειρογνωμόνω που επελέγησαν.<br />
Βήμα 6: Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, σε<br />
στρατηγικό και επιτελικό επίπεδο, που αποσκοπεί στην προστασία των κρίσιμων ΠΕΥ της ΔΔ. Με<br />
βάση τα αποτελέσματα προηγούμενων βημάτων, αλλά και τα συμπεράσματα που προέκυψαν από τη<br />
διαβούλευση σχεδιάστηκε ένα ευέλικτο οργανωτικό σχήμα, που αποσκοπεί στην προστασία των κρίσιμων<br />
ΠΕΥ ΔΔ και λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες<br />
πρακτικές σε διεθνές επίπεδο, αλλά ταυτόχρονα είναι προσαρμοσμένο στην ελληνική πραγματικότητα,<br />
λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο.<br />
Βήμα 7: Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της ΟΕ, με τον<br />
ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. Η παρουσίαση των αποτελεσμάτων της ΟΕ προγραμματίζεται<br />
να γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας, αλλά και του παρόντος<br />
παραδοτέου στο δικτυακό τοπο του e-Governement Forum (www.e-governmentforum.gr). Περαιτέρω,<br />
τα αποτελέσματα του έργου της ΟΕ προγραμματίζετια να παρουσιαστούν σε διάφορα fora που α-<br />
φορούν τις ΤΠΕ και τη ΔΔ.<br />
Επισκόπηση διεθνούς εμπειρίας<br />
Τα θέματα προστασίας των κρίσιμων υποδομών ανήκουν στις προτεραιότητες όλων των τεχνολογικά<br />
προηγμένων χωρών. Ειδικότερα, η προσοχή των χωρών αυτών δεν περιορίζεται μόνο στις ΠΕΥ, αλλά<br />
επεκτείνεται και σε άλλες κρίσιμες υποδομές, όπως η ενέργεια, η παροχή υπηρεσιών υγείας, η πυροπροστασία<br />
κλπ., μέσω μιας ολιστικής θεώρησης που αποβλέπει στην προστασία του συνόλου των<br />
κρίσιμων υποδομών (all-hazards approach).<br />
6<br />
Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται με βάση μια κοινή μέθοδο, σε ευρωπαϊκό επίπεδο. Έτσι, είναι<br />
δυνατή η σύγκριση της προόδου των κρατών-μελών της EE σε ό,τι αφορά την ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής<br />
διακυβέρνησης (βλ. Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα,<br />
Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007).<br />
7 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης<br />
επικινδυνότητας ΠΣ. Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, αν και η<br />
βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit factor) δεν είναι αυστηρά εγγυημένη.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
12
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Αποτέλεσμα του πολύ αυξημένου διεθνούς ενδιαφέροντος είναι η ανάπτυξη σειράς οργανωτικών<br />
σχημάτων, που εντάσσονται κυρίως στο πλαίσιο των κρατικών δομών κάθε χώρας, τα οποία αποσκοπούν<br />
στην επίτευξη του συγκεκριμένου στόχου. Τα οργανωτικά αυτά σχήματα διαφέρουν, από χώρα<br />
σε χώρα, τόσο σε ό,τι αφορά την έκτασή τους, όσο και σε ό,τι αφορά τη δομή τους. Η διαφοροποίηση<br />
μπορεί να ερμηνευτεί με βάση το βαθμό της τεχνολογικής προόδου κάθε χώρας, τις τρέχουσες τοπικές<br />
κοινωνικο-οικονομικές ιδιαιτερότητες, τις στρατηγικές ένταξης των ΤΠΕ στο σχέδιο ανάπτυξης<br />
κάθε χώρας, καθώς και στο ιστορικό συμφραζόμενο που αφορά τον ιμπεριαλιστικό χαρακτήρα της<br />
χώρας. 8<br />
Η επισκόπηση των οργανωτικών σχημάτων<br />
και δομών έδειξε, μεταξύ άλλων, ότι η προστασία<br />
των κρίσιμων υποδομών, ΠΕΥ ή άλλων,<br />
δεν είναι μονόδρομος, καθώς δεν υ-<br />
πάρχει βέλτιστο σχήμα, δεδομένων των αναπόφευκτων<br />
διαφοροποίησεων μεταξύ των<br />
διαφόρων χωρών. Από την άλλη, η επισκόπιση<br />
αποκάλυψε, επίσης, ότι υπάρχουν κάποιες<br />
συγκεκριμένες επιλογές, οι οποίες φαίνεται<br />
ότι υιοθετούνται από αρκετές χώρες<br />
και οι οποίες εκτιμάται ότι διαμορφώνουν έ-<br />
να σύνολο καλών πρακτικών (good practices) για την αντιμετώπιση του ζητήματος. Για παράδειγμα,<br />
ως πυλώνες της προστασίας των κρίσιμων υποδομών θεωρουνται δράσεις που αποβλέπουν στην πρόληψη<br />
και την έγκαιρη προειδοποίηση, στην έγκαιρη ανίχνευση των επιθέσεων, στην άμεση και αποτελεσματική<br />
αντίδραση σε αυτές, καθώς και στη διαχείριση των κρίσεων που προκύπτουν.<br />
Περαιτέρω, η σύγκλιση ορισμένων χωρών στην υιοθέτηση παρόμοιων οργανωτικών σχημάτων προστασίας<br />
των κρίσιμων υποδομών επιτρέπει τη διαμόρφωση μιας αδρής μεθοδολογίας, η οποία μπορεί<br />
να ακολουθηθεί από κάποια χώρα, όπως η Ελλάδα, που δεν διαθέτει ακόμη ένα τέτοιο οργανωτικό<br />
σχήμα, αλλά ενδιαφέρεται να αναπτύξει. Η μεθοδολογία αυτή, ως αρκούντως γενική και παραμετρική,<br />
δεν περιορίζει το πεδίο εφαρμογής της μόνο στις ολιστικές προσεγγίσεις (all-hazards), αλλά είναι<br />
εφαρμόσιμη και σε υποδομές περιορισμένου εύρους. Για παράδειγμα, είναι εφαρμόσιμη στην περίπτωση<br />
της Ελλάδας, όπου το τρέχον ενδιαφέρον εστιάζεται στην προστασία κρίσιμων (μόνον) ΠΕΥ,<br />
αλλά (με κάποιους περιορισμούς που αφορούν κυρίως την αλληλεπίδραση μεταξύ ΠΣ) και σε περιορισμένα<br />
πεδία εφαρμογής των ΤΠΕ (πχ. σε<br />
υπηρεσίες ηλεκτρονικής διακυβέρνησης).<br />
Τα βασικά συστατικά μέρη ενός τέτοιου οργανωτικού<br />
σχήματος είναι (α). Μια Κρατική<br />
Υπηρεσία, (β). ένα Κέντρο Ανάλυσης (που<br />
μπορεί να δημιουργηθεί γιαυτό το λόγο και<br />
μόνο), καθώς και (γ). ένα Κέντρο Αριστείας<br />
(πχ. ένα Ερευνητικό Ινστιτούτο ή ένα CERT<br />
με διευρυμένες αρμοδιότητες).<br />
Με βάση τη διεθνή εμπειρία προκύπτει ότι, πέραν των βασικών μερών από τα οποία πρέπει να αποτελείται<br />
ένα οργανωτικό σχήμα προστασίας κρίσιμων υποδομών, ιδιαίτερη σημασία έχει η εσωτερική<br />
οργανωτική του διάρθρωση (πχ. η αυξημένη διοικητική του αυτονομία, η ύπαρξη επαρκών διοικητικών<br />
μονάδων υποστήριξης κλπ.), οι διασυνδέσεις του με το περιβάλλον (καθώς αναμένεται να υπάρχει<br />
σειρά επικαλύψεων και συναρμοδιοτήτων με άλλες υπηρεσίες, κάποιες από τις οποίες θάναι αναγκαίες<br />
και κάποιες άλλες ενδεχομένως όλως περιττές), καθώς και ο χαρακτήρας και η φύση του. Ειδικά<br />
το τελευταίο χαρακτηριστικό, για παράδειγμα η επιλογή “ανοικτών” σχημάτων διοίκησης σε βά-<br />
8<br />
Η παράμετρος αυτή φαίνεται ότι έχει αποκτήσει σημαντική βαρύτητα στον καθορισμό των οργανωτικών σχημάτων προστασίας<br />
κρίσιμων υποδομών, ειδικά μετά τα γεγονότα της 11.09.2001. Χαρακτηριστικό παράδειγμα της σημασίας της α-<br />
ποτελεί η ίδρυση νέου Υπουργείου των ΗΠΑ (Dept. of Homeland <strong>Security</strong>), που διαθέτει, μεταξύ άλλων, τη σχετική αρμοδιότητα.<br />
Άλλα παραδείγματα, τηρουμένων των αναλογιών, αποτελούν οι σύνθετες οργανωτικές δομές που έχουν υιοθετηθεί<br />
από το Ενωμένο Βασίλειο, αλλά και τη Γερμανία.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
13
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ρος “κλειστών” φορέων εξουσίας, η προτεραιότητα της ελεγκτικής ή της συμβουλευτικής δραστηριότητας<br />
ή η ισορροπία μεταξύ των δύο, η έμφαση στην πρόληψη ή την καταστολή κλπ. αποτελούν<br />
κομβικές επιλογές για την πετυχημένη λειτουργία του.<br />
Η παρουσία και ο ρόλος του ιδιωτικού τομέα (της επιχειρηματικής κοινότητας) διαφοροποιείται, επίσης,<br />
από χώρα σε χώρα. Η τάση που παρατηρείται, γενικά, είναι να διαδραματίζει κάποιο ρόλο, ενίοτε<br />
αξιόλογης εμβέλειας (σε συγκεκριμένα ζητήματα), αλλά κυρίως σε συμβουλευτικό επίπεδο ή σε ε-<br />
πίπεδο ανταλλαγής πληροφόρησης και εμπειριών. Σε χώρες όπου η Δημόσια Διοίκηση έχει σχετικά<br />
περιορισμένο εύρος (πχ. ΗΠΑ), ο ρόλος της ιδιωτικής πρωτοβουλίας είνα σημαντικά διευρυμένος και<br />
έχει προσλάβει χαρακτηριστικά ουσιαστικά στρατηγικού εταίρου, μερικές φορές ακόμη και σε ζητήματα<br />
προστασίας κρίσιμων υποδομών 9 .<br />
Οι συνθήκες στην Ελλάδα<br />
Στην Ελλάδα, σήμερα (Αύγουστος 2008), υπάρχει σειρά δημόσιων υπηρεσιών, ανεξάρτητων αρχών,<br />
οργανισμών και φορέων που περιλαμβάνουν μεταξύ των αρμοδιοτήτων τους θέματα που σχετίζονται<br />
με την προστασία και ασφάλεια κρίσιμων ΠΕΥ. Μεταξύ αυτών περιλαμβάνονται:<br />
(α). Το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ), που έχει επιτελικό ρόλο σε εθνικό επίπεδο και<br />
είναι αρμόδιο για την έκδοση του Εθνικού Κανονισμού Ασφάλειας (ΕΚΑ) (Π.Δ. 17/1974), σε<br />
συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Ο ΕΚΑ έχει εφαρμογή σε όλη τη ΔΔ.<br />
(β). Η ΕΥΠ, που αποτελεί Αρχή Ασφάλειας Πληροφοριών (INFOSEC) (N. 39/2008), είναι υπεύθυνη<br />
για το εθνικό Computer Emergency and Response Team (CERT) (Π.Δ. 325/2003) και αποτελεί<br />
την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Π.Δ. 325/2003).<br />
(γ). Η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ) και η Υπηρεσία Ανάπτυξης<br />
Πληροφορικής (ΥΑΠ) του Υπουργείου Εσωτερικών (ΥΠΕΣ), που διαθέτουν ορισμένες αρμοδιότητες<br />
αμέσως ή εμμέσως συσχετιζόμενες με την προστασία των κρίσιμων ΠΕΥ της ΔΔ. Ενδεικτικά<br />
αναφέρεται ότι η Διεύθυνση ΠΣΕΑ είναι αρμόδια για την κατάρτιση, τήρηση και αναθεώρηση<br />
σχεδίων εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας ΔΔ και Ηλεκτρονικής Διακυβέρνησης,<br />
ενώ η ΥΑΠ έχει οριστεί ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ),<br />
δηλαδή ως Πρωτεύουσα Αρχή (ΠΑΠ) (Ν. 3448/2006).<br />
(δ). Η Ελληνική Αστυνομία (ΕΛΑΣ), ως υπαγόμενη στο ΥΠΕΣ, που εμπλέκεται κυρίως μέσω της Διεύθυνσης<br />
Χειρισμού Κρίσεων, της Διεύθυνσης Εγκληματολογικών Υπηρεσιών, της Υπηρεσίας<br />
Δίωξης Ηλεκτρονικου Εγκλήματος, του Τομέα Εξέτασης Ψηφιακών Πειστηρίων κλπ.<br />
(ε). Το Υπουργείο Μεταφορών και Επικοινωνιών (ΥΜΕ), που είναι αρμόδιο για τη χάραξη πολιτικής<br />
για την ασφάλεια των δημόσιων δικτύων και των υπηρεσιών ηλεκτρονικών επικοινωνιών (Ν.<br />
3431/2006), από κοινού με συναρμόδια Υπουργεία.<br />
9 Το γεγονός αυτό είναι αυτονόητο, δεδομένου ότι πολύ μεγάλο μέρος των κρίσιμων υποδομών (πχ. ενέργεια, επικοινωνίες<br />
κλπ.) στις ΗΠΑ, αλλά και σε πολλές άλλες χώρες, είναι - ή περιέρχεται σταδιακά - υπό τον έλεγχο του ιδιωτικού τομέα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
14
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
(στ).Ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), η Αρχή Διασφάλισης<br />
του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και η Εθνική Επιτροπή Τηλεπικοινωνιών<br />
και Ταχυδρομείων (ΕΕΤΤ), οι οποίες παρεμβαίνουν σε θέματα της αρμοδιότητάς τους. Ενδεικτικά,<br />
η ΑΠΠΔ είναι αρμόδια για θέματα προστασίας προσωπικών δεδομένων και για τον έλεγχο ό-<br />
λων των εμπλεκόμενων φορέων (Ν. 2472/1997, Ν. 2774/1999), η ΑΔΑΕ είναι αρμόδια για την<br />
τήρηση του απόρρητου της ελεύθερης επικοινωνίας, για την πιστοποίηση προϊόντων ασφαλείας<br />
και για τον έλεγχο όλων των εμπλεκόμενων φορέων (Ν. 3115/2003), ενώ η ΕΕΤΤ είναι αρμόδια,<br />
μεταξύ άλλων, για τον έλεγχο των φορέων παροχής υπηρεσιών ηλεκτρονικής υπογραφής (Π.Δ.<br />
150/2001), καθώς και για την ακεραιότητα και διαθεσιμότητα των δημόσιων δικτύων επικοινωνίας<br />
- και σε περιόδους έκτακτης ανάγκης.<br />
(ζ).Η Τράπεζα της Ελλάδας (ΤτΕ), που εμπλέκεται στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού<br />
συστήματος για τη νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες και τη<br />
χρηματοδότηση ειδικών εγκλημάτων βίας (Ν. 3601/2007, Πλαίσιο Εποπτείας - Βασιλεία ΙΙ κλπ.).<br />
(η). Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας του Εθνικού Δικτύου Έρευνας και Τεχνολογίας<br />
(ΕΔΕΤ-CERT, GRNET-CERT), που είναι αρμόδια να ανταποκρίνεται σε περιστατικά ανασφάλειας<br />
στον ελληνικό δικτυακό χώρο (.gr), να παρέχει πληροφορίες, εκπαίδευση και τεχνική<br />
βοήθεια και να αντιπροσωπεύει την Ελλάδα στα αντίστοιχα ευρωπαϊκά και διεθνή fora.<br />
(θ). Η υπηρεσία ENISA (European Network <strong>Information</strong> <strong>Security</strong> Agency) της Ευρωπαϊκής Ένωσης,<br />
που λειτουργεί κυρίως ως Κέντρο Εμπειρογνωμοσύνης για θέματα ασφάλειας δικτύων και πληροφοριών,<br />
παρέχοντας συμβουλευτικές υπηρεσίες σε θέματα όπως το ηλεκτρονικό έγκλημα και<br />
οι μεθοδολογίες αποτίμησης επικινδυνότητας και εκπονώντας σχετικές μελέτες.<br />
(ι). Φορείς και υπηρεσίες, όπως ο Ελληνικός Φορέας Πρόληψης της Ηεκτρονικής Απάτης (ΕΦΤΑ), ο<br />
Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας (ΣΕΠΕ), ο ελληνικός κόμβος<br />
ασφαλούς διαδικτύου SafeNetHomePlus, η υπηρεσία SafeLine, καθώς και ιδιαιτέρως, λόγω<br />
της ιδιαίτερης δυναμικής που μπορεί να επιδείξει, η Ομάδα Δράσης για την Ψηφιακή Ασφάλεια<br />
(Digital Awareness and Response to Threats, DART), που λειτουργεί στο πλαίσιο του Επιχειρησιακού<br />
Προγράμματος “Ψηφιακή Ελλάδα”.<br />
Οι επικαλύψεις, οι συναρμοδιότητες και οι ελλείψεις του πλαισίου αυτού είναι εμφανείς. Μια ενδεικτική<br />
δομημένη (Πίνακας Ι) απεικόνιση των αρμοδιοτήτων των ρυθμιστικών και ελεγκτικών φορέων<br />
αναδεικνύει το πρόβλημα.<br />
ΠΙΝΑΚΑΣ Ι: Ενδεικτικές επικαλύψεις φορέων<br />
ΡΟΛΟΙ<br />
ΦΟΡΕΑΣ<br />
ΣΧΕΤΙΚΟ ΠΕΔΙΟ<br />
ΔΡΑΣΗΣ<br />
Ρυθμίσεις,<br />
κανονισμοί<br />
Έλεγχοι<br />
εφαρμογής<br />
θεσμικού<br />
πλαισίου<br />
Παροχή<br />
προϊόντωνυποδομών<br />
ασφαλείας<br />
Πιστοποίηση<br />
προϊόντων και<br />
υπηρεσιών<br />
ασφαλείας<br />
ΑΠΠΔ<br />
ΑΔΑΕ<br />
ΕΕΤΤ<br />
ΕΦΤΑ<br />
GRNET<br />
Προστασία προσωπικών<br />
δεδομένων √ √ √<br />
Προστασία απορρήτου<br />
των επικοινωνιών √ √ √<br />
Ρύθμιση θεμάτων τηλεπικοινωνιών<br />
√ √ √ √<br />
Πρόληψη τηλεπικοινωνιακής<br />
απάτης √ √<br />
Προϊόντα/υπηρεσίες<br />
ασφάλειας συστημάτων<br />
√<br />
Όσο οι κρίσιμες ΠΕΥ ήσαν ελάχιστες στο πλήθος και εξυπηρετούσαν περιορισμένο αριθμό χρηστών,<br />
τόσο το πρόβλημα της ασφαλούς διαχείρισής τους παρέμενε υπό έλεγχο, δεδομένου ότι οι σχετικές α-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
15
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πειλές δεν αναμενόταν να προκαλέσουν αξιοσημείωτες επιπτώσεις. Επίσης, τυχόν επικαλύψεις και<br />
συναρμοδιότητες μεταξύ των εμπλεκόμενων υπηρεσιών και φορέων προκαλούσαν μάλλον αμελητέες<br />
επιπτώσεις, δεδομένης της περιορισμένης έκτασης του πραγματικού προβλήματος. Η κατάσταση αυτή<br />
ανατράπηκε άρδην, κατά την τελευταία τριετία, ειδικά μετά την ανάπτυξη σημαντικού πλήθους<br />
ΟΠΣ και δικτυακών υποομών, που χρηματοδοτηθηκαν κυρίως - αλλά όχι μόνο - μέσω του Επιχειρησιακού<br />
Προγράμματος “Κοινωνία της Πληροφορίας”, καθώς και μετά την εντεινόμενη διάχυση των<br />
ευρυζωνικών επικοινωνιών και υπηρεσιών.<br />
Στις τρέχουσες συνθήκες - και ειδικά όταν περιέλθουν σε πλήρη παραγωγική λειτουργία το δίκτυο<br />
ΣΥΖΕΥΞΙΣ της ΔΔ, καθώς και η εθνική διαδικτυακή πύλη (portal) ΕΡΜΗΣ - εκτιμάται ότι τυχόν<br />
μείζονα περιστατικά ανασφάλειας στις κρίσιμες ΠΕΥ της ΔΔ όχι απλώς δεν θα είναι εύκολο να αντιμετωπιστούν<br />
αποτελεσματικά, αλλά πιθανότατα θα οδηγούν σε σύγχυση και σε δημόσιες διαμάχες<br />
για το εύρος και το είδος της αρμοδιότητας καθενός των εμπλεκόμενων φορέων και υπηρεσιών.<br />
Εάν ο σκοπός της χρηστής και ευνομούμενης ΔΔ δεν είναι η διάχυση των ευθυνών και η αποσιώπηση<br />
των προβλημάτων, αλλά η έγκαιρη και αποτελεσματική αντιμετώπισή τους, τότε μια χαοτική πανσπερμία<br />
αρμόδιων-συναρμόδιων-ημιαρμόδιων, ιδιωτικών και δημόσιων, φορέων προστασίας των<br />
κρίσιμων ΠΕΥ πολύ απέχει από το να μπορεί να υπηρετήσει το σκοπό αυτό.<br />
Κρίσιμες ΠΕΥ στην ελληνική ΔΔ<br />
Βασικό μέσο για την προστασία των κρίσιμων ΠΕΥ της ΔΔ είναι η επιλογή κατάλληλων κριτηρίων<br />
για την αξιολόγηση των υπαρχουσών ΠΕΥ και την επιλογή, μεταξύ αυτών, αυτών που είναι κρίσιμες.<br />
Για το σκοπό του παρόντος πονήματος αρκεί μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει<br />
να καταστεί δυνατή η δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη<br />
κρίσιμες (μη ζωτικής σημασίας).<br />
Χαρακτηριστικό γνώρισμα της κρισιμότητας των ΠΕΥ είναι ότι διαρκώς μεταβάλλεται, αφού οι κύριοι<br />
παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) συνεχώς διαφοροποιούνται<br />
(οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας<br />
και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.).<br />
Για την αξιολόγηση της κρισιμότητας μιας υποδομής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της<br />
υποδομής ή των υπό αξιολόγηση στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται<br />
ως συνάρτηση των εξής παραγόντων 10 : (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επίπτωση),<br />
όπου ο τελεστής ◊ είναι ένας γενικευμένος πολλαπλασιαστής. Βεβαίως, η επικινδυνότητα α-<br />
ποτελεί εύλογο (αλλά όχι μοναδικό, ούτε κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας μιας υ-<br />
ποδομής.<br />
Ωστόσο, υπάρχουν συγκεκριμένες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως<br />
άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας. Ενδεικτικά υπάρχει: (α). Δυσχέρεια<br />
στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά<br />
εξαιρετικά σημαντικών επιπτώσεων (σε αυτά ανήκουν και οι ανθρωπογενείς απειλές, πχ. ειδικές επιθέσεις<br />
βίας), (β). Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων<br />
και υποδομών (όπως των ΠΕΥ), (γ). Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν<br />
υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις (αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις ο-<br />
ποίες εξαρτώνται άλλες σημαντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.), (δ) Δυσχέρεια στη<br />
χρήση πολυκριτηριακών μεθόδων, (ε). Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ.<br />
επιπέδου εμπιστοσύνης, ψυχολογικών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων<br />
των χρηστών ή του ευρύτερου κοινωνικού συνόλου κλπ.) και (στ). ειδικά για την περίπτωση<br />
των ΠΕΥ, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής υπηρεσιών (διαθεσιμότητας, ακεραιότητας,<br />
εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επι-<br />
10<br />
Η χρήση μοντέλων όπως αυτό που περιγράφεται από την εξίσωση, καθώς και η εκτίμηση των παραγόντων που υπεισέρχονται<br />
σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis, Threat E-<br />
stimation, Impact Analysis, System Reliability, καθώς και σε άλλες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμενες<br />
σε συγκεκριμένα συστήματα ή περιοχές εφαρμογής.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
16
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πτώσεις της περιορισμένης διαθεσιμότητας, δηλαδή της “μη εύλογης” καθυστέρησης (πχ. μακροχρόνιας<br />
διακοπής) της παροχής κρίσιμης πληροφορίας.<br />
Με την υιοθέτηση μιας μετρικής αναλογίας μεταξύ κρισιμότητας και επικινδυνότητας, καθώς και με<br />
την περαιτέρω απλούστευση του προσδιορισμού τους με βάση τις επιπτώσεις που θα είχε ενδεχόμενη<br />
προσβολή των υπό αξιολόγηση ΠΕΥ στη διαθεσιμότητά τους, μπορούν να υιοθετηθούν ως κριτήρια<br />
κρισιμότητας εκείνα που αφορούν την αξιολόγηση των αντίστοιχων επιπτώσεων.<br />
Η μέθοδος που επελέγη, τελικά, για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις<br />
παραμέτρους:<br />
(α). Είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Τα είδη που<br />
λήφθηκαν υπόψη είναι: πληθυσμός (αριθμός χρηστών) που επηρεάζεται, (άμεση) οικονομική επίπτωση<br />
από τη μη διαθεσιμότητα, ένταση διασυνοριακότητας, αλληλεξάρτηση ΠΕΥ με άλλες, α-<br />
νακαμψη ΠΕΥ, αντίδραση της κοινής γνώμης, επίπτωση στην εφαρμογή πολιτικών και στη λειτουργία<br />
της ΔΔ, επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων, επίπτωση στην ιδιωτικότητα,<br />
επιρροή στην άποψη (μεπιστοσύνη) του κοινού για τις ΤΠΕ.<br />
(β). Ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Η ένταση κάθε επίπτωσης<br />
αποτιμήθηκε μέσω μιας 5-βάθμιας κλίμακας τύπου Likert, με τις δυνατές τιμές: {Πολύ υψηλή,<br />
Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}.<br />
(γ). Υποψήφιες κρίσιμες ΠΕΥ ΔΔ. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο<br />
του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή<br />
οι αναπτυσσόμενες ΠΕΥ της ΔΔ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε στην προσέγγιση<br />
της ΕΕ, η οποία έχει καθορίσει 20 υπηρεσίες ως τις βασικές υπηρεσίες ηλεκτρονικής<br />
διακυβέρνησης για τα κράτη-μέλη της ΕΕ. Οι υπηρεσίες αυτές παρέχονται μεσω κατάλληλων<br />
ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ.<br />
(δ). Διαδικασία επιλογής των κρίσιμων υποδομών. Η διαδικασία αυτή δε βασίστηκε σε ποσοτική ε-<br />
κτίμηση, αλλά ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης.<br />
Το θεμελιώδες σημείο αναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυςμενέστερου<br />
ενδεχομένου. Έτσι, ως κρίσιμες ΠΕΥ της ελληνικής ΔΔ ορίστηκε να είναι αυτές για<br />
τις οποίες ένα τουλάχιστον από τα κριτήρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.<br />
Ο Πίνακας ΙΙ, που προκύπτει από το συνδυασμό των ως άνω παραμέτρων, εμπλουτίστηκε με τις τιμές<br />
εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Σε ορισμένες περιπτώσεις οι<br />
τιμές αυτές επελέγησαν ad hoc, προκειμένου να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες.<br />
Η εφαρμογή των επιλεγέντων κριτηρίων αξιολόγησης στις υποψήφιες κρίσιμες ΠΕΥ της ΔΔ οδηγεί<br />
στον Πίνακα ΙΙΙ που περιλαμβάνει τις υπάρχουσες και τις αναπτυσσόμενες κρίσιμες ΠΕΥ της ελληνικής<br />
ΔΔ, οι οποίες εκτιμήθηκε ότι είναι (η σειρά της αναγραφής τους δεν σχετίζεται, κατ’ ανάγκην, με<br />
κάποιου είδους προτεραιότητα, σημασία ή ενδιαφέρον):<br />
(α). To Εθνικό Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ.<br />
(β). Το Ολοκληρωμένο Πληροφοριακό Σύστημα των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ).<br />
(γ). Τα Κέντρα Δεδομένων (Data Centers) που στεγάζονται στις εγκαταστάσεις της ΚτΠ 11 Α.Ε.<br />
(δ). Το Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET του Υπ. Οικονομίας και Οικονομικών.<br />
11 Στις παρούσες συνθήκες (Σεπτέμβρης 2008), στις εγκαταστάσεις της ΚτΠ ΑΕ στεγάζονται 2 Κέντρα Δεδομενων,<br />
ενώ σχεδιάζεται η στέγαση ενός τρίτου. Στα Κέντρα Δεδομένων είναι εγκατεστημένα και λειτουργούν<br />
παραγωγικά οκτώ (8) ΟΠΣ, ενώ μελετάται η εγκατάσταση τουλάχιστον πέντε (5) επιπλέον ΟΠΣ (βλ. Κεφ.<br />
5.4 για αναλυτικό κατάλογο). Πρόκειται για τυπική περίπτωση Πολυκέντρου Δεδομένων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
17
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Πίνακας ΙI: Κριτήρια επιλογής κρίσιμων ΠΕΥ της ελληνικής ΔΔ<br />
Κριτήριο<br />
Επίπτωση<br />
Πολύ υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή<br />
Επηρεαζόμενος πληθυσμός<br />
>100,000 10,000-100,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 € 0,1-1 x 10 6 €
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΙΝΑΚΑΣ ΙΙI: Κρίσιμες ΠΕΥ της ελληνικής ΔΔ<br />
Κριτήριο<br />
Πληροφοριακή και<br />
Επικοινωνιακή Υποδομή<br />
Εθνικό Δίκτυο ΔΔ<br />
ΣΥΖΕΥΞΙΣ<br />
ΟΠΣ Κέντρων<br />
Εξυπηρέτησης Πολιτών<br />
Κέντρα Δεδομένων<br />
(Data Centers) ΚτΠ Α.Ε.<br />
Ολοκληρωμένο Σύστημα<br />
Φορολογίας TaxisNET<br />
Επηρεαζόμενος πληθυσμός Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή<br />
Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ υψηλή<br />
Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ υψηλή<br />
Αλληλοεξάρτηση Πολύ υψηλή Μέτρια Υψηλή Υψηλή<br />
Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή<br />
Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια<br />
Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια<br />
Προσωπική ασφάλεια Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή<br />
Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή<br />
Επηρεασμός του κοινού για τις ΤΠΕ Υψηλή Υψηλή Πολύ υψηλή Υψηλή<br />
Χρωματικός κώδικας έντασης της τιμής της παραμέτρου<br />
Χαμηλή Μέτρια Υψηλή<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
19
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Προτεινόμενο οργανωτικό σχήμα<br />
Τα βασικά χαρακτηριστικά, τα οποία επιδιώκεται να διαθέτει το οργανωτικό σχήμα που προτείνεται<br />
να δημιουργηθεί για την προστασία των κρίσιμων ΠΕΥ της ΔΔ, είναι τα εξής:<br />
• Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες.<br />
• Αυτονομία, έτσι ώστε να μπορεί να λειτουργει ανεμπόδιστα, γρήγορα και αποτελεσματικά.<br />
• Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ.<br />
• Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο ανοικτός,<br />
διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, εν τέλει,<br />
η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων φορέων<br />
και υπηρεσιών.<br />
Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές άλλων<br />
ευρωπαϊκών χωρών και επικεντρώνεται κυρίως σε θέματα ήπιας κρισιμότητας (soft criticality),<br />
δηλαδή κρισιμότητας που δεν σχετίζεται και δεν αφορά ευθέως θέματα εθνικής ασφάλειας, διεθνών<br />
σχέσεων, εξωτερικής πολιτικής και προστασίας του πολιτεύματος.<br />
Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού<br />
σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό, παρόλο<br />
που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών 12 , τελικά εκτιμήθηκε ότι δεν<br />
ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές.<br />
Καθώς το οργανωτικό σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες<br />
με σειρά φορέων της Δημόσιας Διοίκησης (και όχι μόνον), εξετάστηκαν οι παρακάτω ενδεικτικές<br />
εναλλακτικές δομικές μορφές του:<br />
(α). Σχήμα χωρίς αυστηρή ιεραρχική δομή, σύμφωνα με το ανεξάρτητο επιχειρηματικό μοντέλο (independent<br />
business model) για την οργάνωση ενός CSIRT (Computer <strong>Security</strong> Incident Response<br />
Team). Το σχήμα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό, με δικό του προσωπικό<br />
και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαίου). Ο οργανισμός δεν είναι αναγκαίο<br />
(αλλά δεν πρέπει να αποκλείεται) να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να<br />
επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών. Αντίθετα, πρέπει να διαθέτει<br />
διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα της αρμοδιότητάς<br />
τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτονομο χαρακτήρα του σχήματος.<br />
(β). Δημιουργία Γενικής Γραμματείας, ενδεχομένως υπαγόμενης απευθείας στο Γραφείο του Πρωθυπουργού,<br />
με μόνη και αποκλειστική αρμοδιότητα την προστασία των κρίσιμων υποδομών. Η πρακτική<br />
αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει και λειτουργεί με επιτυχία<br />
κυρίως η Νέα Ζηλανδία. Η πρόταση αυτή επικεντρώνεται κυρίως στον επιτελικό χαρακτήρα<br />
του σχήματος, καθώς και στην πολύ υψηλή ιεραρχική ενσωμάτωσή του στην πυραμίδα της ΔΔ.<br />
(γ). Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης<br />
(Σώμα Επιθεωρητών Δημόσιας Διοίκησης). Αντίστοιχης δομής σενάριο είναι, αντί της ενσωμάτωσης<br />
στη Γενική Γραμματεία Επιθεωρητών ΔΔ, η δημιουργία ενός Σώματος Ελεγκτών για την προστασία<br />
των κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετηθηκε<br />
κυρίως από την Αυστραλία (TISN). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό<br />
χαρακτήρα του σχήματος.<br />
(δ). Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κάποια<br />
υφιστάμενη Ειδική/Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη<br />
της οργανωτικής δομής στο: (α). Υπουργείο Εσωτερικών (Γενική Γραμματεία Δημόσιας Διοίκησης<br />
και Ηλεκτρονικής Διακυβέρνησης), (β). Υπουργείο Μεταφορών και Επικοινωνιών, (γ). Υ-<br />
12 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρεσία<br />
της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, ενδεικτικά,<br />
οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα ανήκουν,<br />
επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
20
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων). Η πρακτική αυτή είναι<br />
αρκετά συνηθισμένη διεθνώς, ειδικά σε χώρες με αποτελεσματική ΔΔ. Ακολουθείται, για παράδειγμα,<br />
στη Γερμανία (ΒΜΙ, BSI). Η πρόταση αυτή επικεντρώνεται κυρίως στον εκτελεστικό/διαχειριστικό<br />
χαρακτήρα του σχήματος.<br />
Έχοντας υπόψη τις παραπάνω στρατηγικές επιλογές, τη σχετική διεθνή εμπειρία, τις ελληνικές ιδιαιτερότητες<br />
(ειδικά τη μορφολογία και την όποια παθολογία της ελληνιικής ΔΔ), καθώς και τους σχετικούς<br />
λειτουργικούς περιορισμούς, το σχήμα που προτείνεται να υιοθετηθεί περιγράφεται συνοπτικά<br />
στο σχήμα που ακολουθεί.<br />
Προτεινόμενο οργανωτικό σχήμα προστασίας κρίσιμων ΠΕΥ της ΔΔ<br />
Με βάση την πρόταση αυτή, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανατίθεται σε μια Συντονιστική<br />
Επιτροπή, η οποία ηγείται του όλου σχήματος.<br />
Ελεγκτικό-εποπτικό ρόλο αναλαμβάνει η Ομάδα Εποπτείας, ενώ την τεχνογνωσία την παρέχει η Ομάδα<br />
Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται σε στενή συνεργασία με ερευνητικούς φορείς,<br />
κατά προτίμηση με Ερευνητικό Ινστιτούτο που εκτιμάται ότι είναι σκόπιμο να ιδρυθεί για αυτό το σκοπό.<br />
Σε περιπτώσεις κρίσεων συγκροτείται Ομάδα Αντιμετώπισης Κρίσεων, η οποία έχει αυξημένες και ιδιαίτερες<br />
αρμοδιότητες και ρόλο κατά την εκδήλωση περιστατικών που υποδηλώνουν ενδεχόμενη μείζονα<br />
κρίση.<br />
Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομάδες Συλλογής Πληροφοριών, Ενημέρωσης<br />
και Αντιμετώπισης Περιστατικών, οι οποίες - ειδικά κατά την αρχική λειτουργία του σχήματος - εκτιμάται<br />
ότι είναι σκόπιμο να αποτελούν μια ενιαία ομάδα, ευρύτερης στόχευσης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
21
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κέντρο Ανάλυσης δεν προβλέπεται στην πρόταση, τουλάχιστον με την έννοια που είναι γνωστό διεθνώς.<br />
Προβλέπεται μόνον ως δίαυλος διαρκούς και συστηματικής επικοινωνίας (liaison) με τους φορείς<br />
εφαρμογής του νόμου (law enforcement agencies).<br />
Το οργανωτικό σχήμα περιλαμβάνει Γραφείο Δημοσίων Σχέσεων, που αποσκοπεί στην ενημερωση του<br />
κοινού, την προβολή του έργου του οργανισμού, καθώς και την επικοινωνία με τους συνεργαζόμενους<br />
φορείς και το κοινό.<br />
Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά μια Αγορά (Agora) απόψεων, εκτιμήσεων, σταθμίσεων<br />
και προτάσεων, δηλαδή μια δομή θεσμοθετημένης διαρκούς διαβούλευσης, στην οποία συμμετέχουν<br />
εκπρόσωποι φορέων και ενδιαφερόμενων ή/και εμπλεκόμενων ομάδων (πχ. μη κυβερνητικών οργανώσεων,<br />
συνδικαλιστικών οργανώσεων, ειδικών επιστημόνων κλπ.).<br />
Οι διασυνδέσεις του σχήματος με άλλους φορείς - και όχι μόνο της ΔΔ - διαδραματίζουν ιδιαίτερα σημαίνοντα<br />
ρόλο, λόγω της εγγενούς και έντονης δια-λειτουργίας πολλών από τις κρίσιμες ΠΕΥ, τόσο<br />
μεταξύ τους, όσο και με άλλες υποδομές και ΠΣ.<br />
Διασύνδεση του οργανωτικού σχήματος με άλλους φορείς<br />
Κωδικοποίηση συμπερασμάτων και προτάσεων<br />
Με βάση:<br />
(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνικής<br />
Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκληθούν,<br />
(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδιασθεί<br />
και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
22
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης,<br />
καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals),<br />
(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής Δημόσιας<br />
Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ,<br />
προτείνεται στη συνέχεια μια σειρά κωδικοποιημένων και ιεραρχημένων παρεμβάσεων για την προστασία<br />
των κρίσιμων ΠΕΥ της ελληνικής ΔΔ.<br />
Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφορά<br />
θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση αρμόδιων<br />
κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλαδή<br />
παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκησης, είτε<br />
μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ).<br />
Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό<br />
τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Επιχειρησιακό<br />
Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και “Ψηφιακή<br />
Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρηματοδότηση<br />
από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επενδύσεων<br />
κλπ.).<br />
Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής:<br />
1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το οργανωτικό<br />
σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα αρμόδια<br />
κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του e-Government<br />
Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα διαδικασία.<br />
2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών<br />
Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστιτούτο<br />
θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστήριξη<br />
του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνωμόνων<br />
και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο λειτουργικό<br />
σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική τεχνογνωσία), η<br />
συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρακτήρα, στον οποίο<br />
ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, όσο για λόγους χρηματοδότησης,<br />
το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του διαδόχου του Επιχειρησιακού<br />
Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελματική Κατάρτιση), καθώς<br />
και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνολογίας).<br />
3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.<br />
Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις της<br />
εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυξηθεί<br />
στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά λόγω της<br />
εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών ασφάλειας που<br />
εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι αμιγώς διαχειριστικός<br />
και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους του Επιχειρησιακού<br />
Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
23
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών<br />
Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτεραιότητας.<br />
Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης ό-<br />
λων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώρας,<br />
με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ολοένα<br />
και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός και η χρηματοδότησή<br />
του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμματος “Διοικητική<br />
Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”).<br />
5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών της Δημόσιας Διοίκησης<br />
Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτήρα.<br />
Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να βασίζεται<br />
σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υποδομής<br />
αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επιλεγεί.<br />
Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής μπορεί να<br />
γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχήματος το οποίο<br />
θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό που κατά κανόνα<br />
παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργίας του. Πρόκειται,<br />
προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτιμάται ότι μπορεί ευλόγως<br />
να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή Σύγκλιση”.<br />
Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται επιγραμματικά στον Πίνακα IV.<br />
ΠΙΝΑΚΑΣ ΙV: Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ<br />
ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ<br />
ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα<br />
Ίδρυση Φορέα/Υπηρεσίας Προστασίας<br />
Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών Υποδομών<br />
της Δημόσιας Διοίκησης<br />
Θεσμική<br />
(εισήγηση Συμβουλίου<br />
e-Government Forum)<br />
Υψηλή<br />
Κρατικός Προϋπολογισμός<br />
Ίδρυση Ερευνητικού<br />
Ινστιτούτου Προστασίας<br />
Κρίσιμων Πληροφοριακών και<br />
Επικοινωνιακών Υποδομών<br />
Θεσμική<br />
(πρόταση Συμβουλίου<br />
e-Government Forum)<br />
Υψηλή<br />
Ε.Π. Υπουργείου Παιδείας<br />
Ε.Π. Υπουργείου Ανάπτυξης<br />
(Γενική Γραμματεία<br />
Έρευνας και Τεχνολογίας)<br />
Ασφάλεια Πολυκέντρου<br />
Δεδομένων της Κοινωνίας της<br />
Πληροφορίας Α.Ε.<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Πολύ υψηλή<br />
Ε.Π. Κοινωνία της<br />
Πληροφορίας<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Εντοπισμός Κρίσιμων<br />
Ελληνικών Υποδομών<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Υψηλή<br />
Ε.Π. Διοικητική<br />
Μεταρρύθμιση<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Τεχνολογική υποδομή Φορέα<br />
Προστασίας Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών<br />
Υποδομών της Δημόσιας<br />
Διοίκησης<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Υψηλή<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
24
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
1<br />
Εισαγωγή και στόχοι του έργου<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
25
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
1. Εισαγωγή και στόχοι του έργου<br />
Η ραγδαία διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση (ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων<br />
πληροφοριακών συστημάτων και της διάχυσης και συνδυαστικής αξιοποίησης των ευρυζωνικών<br />
επικοινωνιακών υποδομών, επέφερε σημαντικές και πολλαπλές επιπτώσεις. Μια από τις βασικότερες<br />
από αυτές είναι η μετατόπιση του κέντρου βάρους των ζητημάτων ασφάλειας, το οποίο μετακινήθηκε<br />
από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσιμων πληροφοριακών και<br />
επικοινωνιακών υποδομών.<br />
Ειδικότερα, το διακύβευμα της προστασίας τείνει να μην είναι πλέον μόνον (ή κυρίως) τα ολοκληρωμενα<br />
πληροφοριακά συστήματα, αλλά πρωτίστως οι κρίσιμες πληροφοριακές και οι επικοινωνιακές<br />
υποδομές. Αυτό ισχύει, δεδομένου ότι μέσω των υποδομών αυτών καθίσταται δυνατή και από αυτές<br />
εξαρτάται, συχνά σε μεγάλο βαθμό, η λειτουργία των πληροφοριακών συστημάτων της ΔΔ.<br />
Η ΚτΠ Α.Ε., αναγνωρίζοντας τη σπουδαιότητα του ως άνω ζητήματος, συγκρότησε Ομάδα Εργασίας<br />
με στόχο τη μελέτη και ανάπτυξη ενός πλαισίου εθνικής πολιτικής προστασίας των κρίσιμων ΠΕΥ<br />
ΔΔ. Οι βασικοί στόχοι της Ομάδας Εργασίας ήσαν:<br />
(1). Να προωθήσει τη σύζευξη των ΤΠΕ με τη διοικητική δράση, προδιαγράφοντας τις αναγκαίες οργανωτικές<br />
παρεμβάσεις και τα αντίστοιχα οργανωτικά σχήματα που είναι αναγκαία για την αποτελεσματική<br />
προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας<br />
Διοίκησης.<br />
(2). Να αξιοποιήσει αποτελεσματικά την τεχνογνωσία που υπάρχει στην ακαδημαϊκή και επιχειρηματική<br />
κοινότητα, και αφορά την προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.<br />
(3). Να προτείνει δράσεις που αξιοποιούν τις δυνατότητες του επιχειρηματικού τομέα του χώρου των<br />
ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υποστήριξη<br />
των προταθησόμενων οργανωτικών υποδομών και σχημάτων της Δημόσιας Διοίκησης.<br />
Για την επίτευξη των ως άνω στόχων αξιοποιήθηκε κατάλληλη επιστημονική μεθοδολογία και αναλήφθηκαν<br />
οι εξής βασικές δράσεις:<br />
(1). Καταγραφή των οργανωτικών σχημάτων προστασίας πληροφοριακών και επικοινωνιακών υποδομών<br />
και διαχείρισης κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας Διοίκησης,<br />
καθώς και των επιχειρησιακών πρακτικών που αφορούν τις κρίσιμες υποδομές.<br />
(2). Καταγραφή και συνοπτική αποτίμηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουργούν<br />
διεθνώς και αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.<br />
(3). Εντοπισμός και συνοπτική περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών<br />
της Δημόσιας Διοίκησης.<br />
(4). Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε<br />
στρατηγικό, όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων<br />
πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.<br />
(5). Διερεύνηση των δυνατοτήτων διαλειτουργικότητας του οργανωτικού αυτού σχήματος με αντίστοιχα<br />
σχήματα που αφορούν την Εθνική Άμυνα και τη Δημόσια Τάξη, καθώς και τυχόν διεθνείς<br />
οργανισμούς σχετικής στόχευσης.<br />
(6). Συστηματική διερεύνηση της δυνατότητας ουσιαστικής τεχνικής συμβολής και υποστήριξης του<br />
επιχειρηματικού τομέα του χώρου των ΤΠΕ για την υλοποίηση και τεχνική υποστήριξη του οργανωτικού<br />
αυτού σχήματος.<br />
(7). Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό,<br />
είτε εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις.<br />
(8). Δημόσια παρουσίαση και κριτική αξιολογηση των αποτελεσμάτων του έργου της Ομάδας Εργασίας,<br />
με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
26
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
2<br />
Εννοιολογική οριοθέτηση και<br />
μέθοδος εργασίας<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
27
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
2. Εννοιολογική οριοθέτηση και μέθοδος εργασίας<br />
2.1 Εννοιολογική οριοθέτηση<br />
Για την προσέγγιση του ζητήματος που μας απασχολεί αξιοποιούμε μια σειρά εννοιών, τις οποίες ο-<br />
ρίζουμε ως εξής [Γκρ-04, Γκρ-07, ISO-13335, ISO-73, NCIAP-04, NIST-02]:<br />
Αγαθό (Asset): Ανθρώπινοι ή/και άυλοι πόροι, οι οποίο είναι ευλόγως σκόπιμο να προστατευθούν,<br />
μεταξύ άλλων λόγω και της εγγενούς σημασίας/χρησιμότητάς τους.<br />
Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη<br />
ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της Διοίκησης, της Οικονομίας, της<br />
Κοινωνίας ή/και άλλων υποδομών.<br />
Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση,<br />
διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών<br />
ή στην ομαλή λειτουργία της Δημόσιας Διοίκησης ή/και της Οικονομίας.<br />
Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών,<br />
υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών.<br />
Κρίσιμη ΠΕΥ (Critical <strong>Information</strong> and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό<br />
σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων<br />
υποδομών.<br />
Προστασία Κρίσιμης ΠΕΥ (Critical <strong>Information</strong> and Communication Infrastructure Protection):<br />
Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας<br />
Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της<br />
υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε<br />
εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα.<br />
Συστατικά ΠΕΥ (Στοιχεία ΠΕΥ): Δίκτυα επικοινωνίας, λογισμικό, υλικό, υπηρεσίες, ανθρώπινο<br />
δυναμικό ή οποιοδήποτε άλλο μέσο αξιοποιείται για την αποτελεσματική διαχείριση μιας ΠΕΥ.<br />
Ακεραιότητα ΠΕΥ (Integrity): Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφοριακής<br />
και επικοινωνιακής υποδομής.<br />
Εμπιστευτικότητα ΠΕΥ (Confidentiality): Αποφυγή αποκάλυψης των πληροφοριών που διακινούνται<br />
σε μία πληροφοριακή και επικοινωνιακή υποδομή χωρίς την άδεια του ιδιοκτήτη τους.<br />
Διαθεσιμότητα ΠΕΥ (Availability): Αποφυγή μη εύλογων καθυστερήσεων στην εξουσιοδοτημένη<br />
προσπέλαση των πόρων μιας πληροφοριακής και επικοινωνιακής υποδομής.<br />
Ασφάλεια ΠΕΥ (<strong>Information</strong> and Communication Infrastructure <strong>Security</strong>): Τήρηση της εμπιστευτικότητας,<br />
ακεραιότητας και διαθεσιμότητας των κάθε είδους πόρων 13 μίας πληροφοριακής και επικοινωνιακής<br />
υποδομής.<br />
Παραβίαση ΠΕΥ (Violation): Γεγονός κατά το οποίο προσβλήθηκαν μία ή περισσότερες από τις ιδιότητες<br />
διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα μιας πληροφοριακής και επικοινωνιακής υ-<br />
ποδομής.<br />
Απειλή (Threat): Πιθανή ενέργεια ή γεγονός που μπορεί να προκαλέσει την απώλεια κάποιου χαρακτηριστικού<br />
της ασφάλειας μιας πληροφοριακής και επικοινωνιακής υποδομής.<br />
Τρωτότητα ΠΕΥ (Ευπάθεια) (Vulnerability): Σημείο μιας πληροφοριακής και επικοινωνιακής υποδομής<br />
που μπορεί να επιτρέψει να συμβεί μία παραβίαση.<br />
Επίπτωση (Impact): Απώλεια μίας αξίας, η αύξηση του κόστους ή άλλη ζημία που θα μπορούσε να<br />
προκύψει ως συνέπεια μιας συγκεκριμένης παραβίασης μιας πληροφοριακής και επικοινωνιακής<br />
υποδομής.<br />
13 Για τους οποίους έχουν έννοια οι προαναφερθείσες ιδιότητες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
28
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Μέσο Προστασίας (Έλεγχος) ΠΕΥ (Safeguard - Control): Διαδικασία ή τεχνικό μέτρο που αποσκοπεί<br />
να εμποδίσει μία παραβίαση ή να μειώσει τις επιπτώσεις της σε μια πληροφοριακή και επικοινωναική<br />
υποδομή.<br />
Κρίσιμη Υποδομή (ΚΥ) ή Υποδομή Ζωτικής Σημασίας (ΥζωΣ): Ύποδομή, της οποίας η μη ασφαλής<br />
λειτουργία έχει ζωτικές επιπτώσεις στην εξασφάλιση των πρωταρχικών αγαθών των πολιτών της<br />
κοινότητας, όπως - ενδεικτικά και όχι περιοριστικά - η υγεία, η ασφάλεια κλπ.<br />
Επικινδυνότητα ΠΕΥ (Risk): Tο ενδεχόμενο μια δεδομένη απειλή να αξιοποιήσει την τρωτότητα<br />
κάποιων αγαθών και να προκαλέσει βλάβη σε μια ΠΕΥ.<br />
Ανάλυση επικινδυνότητας ΠΕΥ (Risk analysis): Η συστηματική αξιοποίηση πληροφοριών για την<br />
αναγνώριση των πόρων μιας ΠΕΥ και για την εκτίμηση της επικινδυνότητάς τους.<br />
Διαχείριση επικινδυνότητας ΠΕΥ (Risk management): H διαδικασία στάθμισης εναλλακτικών<br />
μέσων ασφάλειας, σε συνεννόηση με τους εμπλεκόμενους και λαμβάνοντας υπόψη τα αποτελέσματα<br />
της ανάλυσης επικινδυνότητας και το ισχύον νομικό πλαίσιο, προκειμένου να επιλεγούν τα καταλληλότερα<br />
μέσα ασφάλειας μιας ΠΕΥ.<br />
Στο Σχήμα 1 παρέχεται, με τη μορφή μιας αδρής οντολογίας, το πλέγμα των αλληλεξαρτήσεων μεταξύ<br />
εκείνων από τις άνω ορισθείσες έννοιες, οι οποίες σχετίζονται με την κεντρική έννοια της επικινδυνότητας.<br />
2.2 Μέθοδος εργασίας<br />
Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07]<br />
Για την επίτευξη των στόχων της ομάδας εργασίας CICIP αναπτύχθηκε και αξιοποιήθηκε μια κατάλληλη<br />
επιστημονική μέθοδος η οποία περιλαμβάνει τα εξής βήματα και δράσεις:<br />
Βήμα 1:<br />
Καταγραφή και αξιολόγηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουργούν διεθνώς και<br />
αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.<br />
Εκπονήθηκε μια εκτενής και αναλυτική επισκόπηση οργανωτικών σχημάτων CICIP που έχουν αναπτυχθεί<br />
σε διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και σχετικές δράσεις και πρωτοβουλίες<br />
από διάφορους εθνικούς ή/και διεθνείς oργανισμούς. Σε βάθος ανάλυση πραγματοποιήθηκε για τις ε-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
29
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Μελέτη διεθνών οργανωτικών<br />
σχημάτων για την προστασία<br />
κρίσιμων ΠΕΥ<br />
Μελέτη τρέχοντος<br />
οργανωτικού πλαισίου<br />
και πρακτικών<br />
Εντοπισμός κρίσιμων<br />
ΠΕΥ της Δημόσιας<br />
Διοίκησης<br />
Αξιολόγηση<br />
των ΠΕΥ ΔΔ<br />
ως προς την κρισιμότητα<br />
Οργανωμένη<br />
διαβούλευση<br />
Προδιαγραφή<br />
οργανωτικού<br />
σχήματος<br />
Δημόσια παρουσίαση<br />
& κριτική αξιολόγηση<br />
αποτελεσμάτων<br />
ξής χώρες: Γερμανία, Ελβετία, Ηνωμένο Βασίλειο, Ολλανδία, Σουηδία,<br />
ΗΠΑ, Νέα Ζηλανδία, Καναδάς. Αυτές επιλέχθηκαν καθώς εκτιμήθηκε<br />
ότι εμφανίζουν μεγαλύτερο βαθμό ωριμότητας, καθώς και επιστημονικό<br />
ενδιαφέρον. Επιπλέον, εξετάστηκαν προγράμματα και οργανισμοί<br />
της Ευρωπαϊκής Ένωσης, αλλά και το Forum of Incident Response<br />
and <strong>Security</strong> Teams (FIRST).<br />
Η καταγραφή σκόπευε να εντοπίσει ανά χώρα (α) ορισμούς εννοιών<br />
CICIP (critical sector definitions), (β) παλιές και νέες πρωτοβουλίες<br />
CICIP - ύπαρξη πολιτικής ή/και στρατηγικού σχεδιασμού (CICIP initiatives<br />
και policy), (γ) oργανωτικές δομές και σχήματα (Organisational<br />
structures), (δ) μηχανισμούς προειδοποίησης και προσέγγισης κοινού<br />
(Early warning and public outreach) και (ε) νομοθετικό και κανονιστικό<br />
πλαίσιο. Αξιολογήθηκε η προσέγγιση που ακολουθεί κάθε χώρα,<br />
ενώ έγινε σύγκριση βάση κριτηρίων, όπως η ύπαρξη εθνικής<br />
στρατηγικής (national compelling strategy), η ύπαρξη σαφών ορισμών,<br />
η προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι<br />
απλή αντιγραφή υπαρχόντων ώριμων μοντέλων (π.χ. ΗΠΑ), ο συνυπολογισμός<br />
και η συνεισφορά του ιδιωτικού τομέα, ο βαθμός οργάνωσης<br />
και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα και τέλος ο<br />
βαθμός διαφάνειας του κάθε εθνικού συστήματος για CICIP.<br />
Βήμα 2:<br />
Καταγραφή των οργανωτικών σχημάτων προστασίας ΠΕΥ και διαχείρισης<br />
κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας<br />
Διοίκησης, καθώς και των επιχειρησιακών πρακτικών που αφορούν τις<br />
κρίσιμες υποδομές.<br />
Στο στάδιο αυτό αναζητήθηκαν οι οργανισμοί και φορείς που μπορεί<br />
να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης και έχουν ρόλο που σχετίζεται με τη<br />
CICIP ή την ασφάλεια γενικότερα. Η καταγραφή συμπεριέλαβε (α) εποπτικούς/κανονιστικούς φορείς,<br />
(β) ρυθμιστικούς φορείς ασφάλειας και (γ) φορείς/ιστοχώρους ενημέρωσης για θέματα CICIP στον<br />
ελληνικό χώρο. Στόχος ήταν να αναζητηθούν φορείς που ήδη καθορίζουν στρατηγική ή έχουν ρόλο<br />
που σχετίζεται τόσο με την προστασία κρίσιμων ΥΠΕ, όσο και γενικότερα με την ασφάλεια και οι ο-<br />
ποίοι ενδεχομένως να πρέπει να ληφθούν υπόψη κατά τον μετέπειτα σχεδιασμού του οργανωτικού<br />
σχήματος. Εντοπίστηκαν το πεδίο δράσης και ο ρόλος του κάθε φορέα (π.χ. Πιστοποίηση προϊόντων<br />
και υπηρεσιών ασφαλείας, Παροχή προϊόντων-υποδομών ασφαλείας, Ρυθμίσεις, Κανονισμοί. Έλεγχοι<br />
εφαρμογής θεσμικού πλαισίου κλπ.) και τα στοιχεία αυτά αναπαραστάθηκαν με τη μορφή συγκριτικών<br />
πινάκων.<br />
Βήμα 3:<br />
Εντοπισμός και περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας<br />
Διοίκησης.<br />
Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν θα<br />
ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την<br />
κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους.<br />
Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική<br />
προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπηρεσίες<br />
14 , ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπηρεσίες<br />
αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες<br />
14 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μέθοδο. Έτσι,<br />
είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών-μελών της E.E. στην ανάπτυξη των ίδιων υ-<br />
πηρεσιών ηλεκτρονικής διακυβέρνησης. Στην Ελλάδα οι υπηρεσίες αυτές αξιολογούνται, ως προς το επίπεδο ωρίμανσής<br />
τους, από το Παρατηρητήριο για την Κοινωνία της Πληροφορίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
30
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΕΥ της ΔΔ, με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων<br />
ανάπτυξης και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων. Οι υποψήφιες<br />
ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω συνεντεύξεων που διεξήχθησαν<br />
μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της ΚτΠ Α.Ε., τα οποία διετέλεσαν<br />
ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ. Πιο συγκεκριμένα, α-<br />
ντικείμενο μελέτης για κάθε ΠΕΥ αποτέλεσαν τα εξής:<br />
• Στοιχεία ταυτότητας έργου/ΠΕΥ<br />
• Αρχιτεκτονικές ΠΕΥ (Πληροφοριακού Συστήματος/Δικτύου)<br />
• Παρεχόμενες υπηρεσίες<br />
• Συνδεόμενοι/εξαρτώμενοι φορείς ή άλλα ΟΠΣ/ΠΕΥ<br />
• Μελέτη Ασφάλειας<br />
Βήμα 4:<br />
Αξιολόγηση των ΠΕΥ της Δημόσιας Διοίκησης ως προς την κρισιμότητα<br />
Επόμενος στόχος ήταν η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των ΠΕΥ της ελληνικής<br />
Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα βήματα, ως<br />
προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγηση.<br />
Η μέθοδος που επιλέχθηκε επιτρέπει τη δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής<br />
σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας). Μια αναλυτικότερη και ακριβέστερη προσέγγιση,<br />
συνοδευόμενη με βαθμονόμηση κρίσιμων ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μεταγενέστερο<br />
έργο.<br />
Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύριοι<br />
παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι<br />
απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας<br />
και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπισμός<br />
τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως είναι<br />
ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου. Με βάση τη μελέτη της σχετικής εμπειρίας<br />
και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις προτάσεις που προηγήθηκαν, η μέθοδος<br />
που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται<br />
σε δύο (2) παραμέτρους:<br />
1. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγησαν<br />
10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της διεθνούς βιβλιογραφίας<br />
(μεθοδοι ανάλυσης επικινδυνότητας και ανάλυσης κρισιμότητας).<br />
2. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια<br />
κλίμακα Likert, με τιμές: {Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. H επιλογή πενταβάθμιας<br />
κλίμακας, αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας,<br />
έγινε για να μπορεί να απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορισμένων<br />
επιπτώσεων, δεδομένων των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέλειας),<br />
σε σύγκριση με τις αντίστοιχες διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετραβάθμια<br />
ή εξαβάθμια κλίμακα δεν είχε κάτι πραγματικά ουσιαστικό να συνεισφέρει στη διαφοροποίηση<br />
της έντασης των επιπτώσεων.<br />
Η διαδικασία χαρακτηρισμού των ΠΕΥ ως κρίσιμων βασίστηκε στο συνδυασμό της έντασης κάθε<br />
επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση το θεωρητικά<br />
εκτιμώμενο “δυσμενέστερο ενδεχόμενο” 15 (worst-case scenario). Η διαδικασία επιλογής των<br />
κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρακτηρισμό αυτό, δεν βασίστηκε<br />
15 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης<br />
επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας,<br />
αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
31
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης<br />
(professional judgement). Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές<br />
και επικοινωνιακές υποδομές της ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις<br />
οποίες ένα τουλάχιστον από τα κριτηρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.<br />
Βήμα 5:<br />
Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε ε-<br />
κτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις.<br />
Απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/προστασίας υποδομών της<br />
κλίμακας και κρισιμότητας των ΠΕΥ ΔΔ, είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων<br />
μερών, ιδιωτών και δημοσίου τομέα. Στόχος της διαβούλευσης είναι η παρουσίαση σε συγκεκριμένα<br />
πρόσωπα-κλειδιά των πρώτων αποτελεσμάτων της ομάδας εργασίας για μια αρχική αξιολόγηση,<br />
αλλά και για γόνιμο σχολιασμό από εμπειρογνώμονες, τόσο σε σχέση με τις ΤΠΕ, όσο και με τη δημόσια<br />
διοίκηση αλλά και την προστασία κρίσιμων υποδομών. Η διαβούλευση οργανώθηκε σε τέσσερις<br />
φάσεις.<br />
Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση<br />
Η επιλογή των εμπειρογνωμόνων δεν έγινε με ad hoc τρόπο, αλλά μέσω μεθοδευμένων βημάτων.<br />
Αρχικά προσδιορίστηκαν οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ (η μέθοδος προσδιορίστηκε στο Βήμα 3).<br />
Για κάθε ΠΕΥ ΔΔ που εντοπίστηκε, προσδιορίστηκαν και κατηγοριοποιήθηκαν τα εμπλεκόμενα<br />
μέρη. Εξεταστήκαν συνολικά οι εξής κατηγορίες εμπλεκομένων:<br />
• Παρόχων Δικτύων, Υπηρεσιών, Συστημάτων, Εφαρμογών, Προϊόντων Προστασίας<br />
• Χρηστών των υποδομών και παρόχων υπηρεσιών ΔΔ<br />
• Κανονιστικών αρχών<br />
• Φορέων σχετικών με ασφάλεια-προστασία<br />
Στη συνέχεια, οι ρόλοι-εμπλεκόμενοι ταυτοποιήθηκαν σε ανθρώπους-κλειδιά για επαφή και συνεργασία<br />
με την Ομάδα Εργασίαςς. Στη φάση αυτή η ομάδα υποστηρίχθηκε από την ΚτΠ, αλλά αξιοποίησε<br />
και προηγούμενες συνεργασίες των συμμετεχόντων στην Ο.Ε. με εμπλεκομένους. Επίσης, θα πρέπει<br />
να ληφθεί υπόψη το γεγονός ότι στη σύνθεση της ομάδας υπάρχει ήδη σημαντική εκπροσώπηση<br />
των φορέων αυτών.<br />
Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων<br />
Στην επόμενη φάση συντάχθηκαν τρείς τύποι ερωτηματολογίων για τη συλλογή πληροφορίας και τη<br />
εξαγωγή κάποιων πρώτων συμπερασμάτων. Πιο συγκεκριμένα, συντάχθηκαν τα εξής:<br />
• Ερωτηματολόγιο Ε1: Aπευθύνεται σε Π/Α υποδομής και υπηρεσιών και στοχεύει στη σκιαγράφηση<br />
του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φορέων σε σχέση με την<br />
προστασία ΥΠΕ.<br />
• Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο είχε<br />
να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφάλειας<br />
αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματολογίων<br />
χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρισιμότητα<br />
των ΠΕΥ (Βήμα 4).<br />
• Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξαγάγει<br />
συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος (Βήμα 6).<br />
Φάση 3: Συλλογή-επεξεργασία απαντήσεων<br />
Μετά τη συλλογή των ερωτηματολογίων, ακολούθησε επεξεργασία ώστε να αποτυπωθούν νέα συμπεράσματα<br />
και να εκτιμηθούν τα σχόλια που αφορούσαν τα τρέχοντα ευρήματα της Ομάδας Εργασίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
32
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σημειώνεται ότι η επεξεργασία και δημοσίευση των αποτελεσμάτων αυτής της φάσης έγιναν με ανώνυμο<br />
τρόπο.<br />
Φάση 4: Διοργάνωση ημερίδας (workshop)<br />
Στόχος της ημερίδας είναι να παρουσιαστούν τα πρώτα αποτελέσματα εργασίας και να γίνει ανταλλαγή<br />
απόψεων μεταξύ των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτικό<br />
τομέα, οι οποίοι έχουν ώριμη αντίληψη για τέτοιου είδους υποδομές. Στην ημερίδα έγινε πρόσκληση<br />
για συμμετοχή σε μέρος των εμπλεκομένων που συμμετείχαν στις προηγούμενες φάσεις, νέων<br />
εμπλεκομένων, αλλά και ειδικών επιστημόνων που κρίνεται ότι η παρουσία τους μπορεί να συμβάλλει<br />
περαιτέρω στο έργο της Ομάδας Εργασίας.<br />
Η ημερίδα οργανώθηκε σε τρεις θεματικές περιοχές - συνόδους εργασίας:<br />
• Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και εποπτικοί<br />
φορείς στην Ελλάδα και διεθνώς<br />
• Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητήματα Ασφάλειας<br />
• Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
στην Ελλάδα<br />
Βήμα 6:<br />
Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε στρατηγικό,<br />
όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων πληροφοριακών<br />
και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.<br />
Με βάση τα αποτελέσματα των Βημάτων 1 και 2, αλλά και τα συμπεράσματα που προέκυψαν από τις<br />
αρχικές φάσεις της διαβούλευσης σχεδιάστηκε ένα οργανωτικό σχήμα σε στρατηγικό και επιτελικό ε-<br />
πίπεδο. Στόχος είναι η προστασία των κρίσιμων ΠΕΥ ΔΔ μέσω ενός ευέλικτου οργανωτικού σχήματος,<br />
το οποίο θα λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες πρακτικές<br />
σε διεθνές επίπεδο, αλλά ταυτόχρονα θα είναι προσαρμοσμένο στην ελληνική πραγματικότητα,<br />
λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο.<br />
Ο σχεδιασμός του σχήματος είναι προϊόν διαδοχικών συναντήσεων εργασίας της Ο.Ε. Αρχικά προσδιορίστηκαν<br />
οι ρόλοι που θα πρέπει να πληρούνται, οι αρμοδιότητες και οι διασυνδέσεις με άλλους<br />
φορείς. Στη συνέχεια εξετάστηκαν οι διάφορες σχεδιαστικές επιλογές σε σχέση με την ιεραρχική δομή,<br />
τη νομική φύση και την αντιστοίχηση, στο βαθμό του δυνατού, με υπάρχοντες φορείς. Σε αυτή τη<br />
διαδικασία συνεχών επαναλήψεων και ανατροφοδοτήσεων ελήφθησαν υπόψη και οι απόψεις που διατυπώθηκαν<br />
από τους συμμετέχοντες στην ημερίδα και αξιοποιήθηκε και η εμπειρία των μελών της<br />
Ο.Ε.<br />
Βήμα 7:<br />
Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της Ομάδας Εργασίας, με<br />
τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο.<br />
Η παρουσίαση των αποτελεσμάτων της Ο.Ε. θα γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας,<br />
αλλά και των παραδοτέων στον ιστότοπο της ομάδος. Παράλληλα, θα γίνει προσπάθεια παρουσίασης<br />
των αποτελεσμάτων και σε ημερίδες, διοργανώσεις ή άλλα γεγονότα που σχετίζονται με τις<br />
ΤΠΕ και τη Δημόσια Διοίκηση.<br />
Η συνολική δομή της μεθόδου που ακολούθησε η Ομάδα Εργασίαςς απεικονίζεται συνοπτικά στο<br />
Σχήμα 2.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
33
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 2: Μέθοδος εργασίας O.E. CICIP<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
34
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3<br />
Οργανωτικά Σχήματα Προστασίας<br />
Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών και Διαχείρισης Κρίσεων<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
35
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3. Οργανωτικά Σχήματα Προστασίας Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών και Διαχείρισης Κρίσεων<br />
3.1 Εισαγωγή<br />
Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση διεθνών οργανωτικών σχημάτων CICIP που<br />
έχουν αναπτυχθεί από διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και από διάφορους εθνικούς<br />
ή/και διεθνείς Οργανισμούς.<br />
3.2 Κρίσιμες Υποδομές και προσεγγίσεις CICIP<br />
3.2.1 Κρίσιμες Υποδομές<br />
Σύμφωνα με τα αναφερόμενα στα [Abe-06, EC-04, EC-05, HSC-07], ως εξορισμού κρίσιμες υποδομές<br />
θεωρούνται, κατ’ αρχήν και πριν την αναγκαία περαιτέρω και επισταμένη μελέτη, οι ακόλουθες:<br />
• Ενέργεια (π.χ. ηλεκτρική ενέργεια, παραγωγή πετρελαίου και αερίου, εγκαταστάσεις αποθήκευσης<br />
και διυλιστήρια, συστήματα μετάδοσης και διανομής)<br />
• Τεχνολογίες Πληροφορικής και Επικοινωνιών (π.χ. τηλεπικοινωνίες, συστήματα εκπομπής, λογισμικό,<br />
υλικό, και δίκτυα, συμπεριλαμβανομένου του Διαδικτύου)<br />
• Οικονομία (π.χ. τραπεζική, διαχείριση αξιών, και επενδύσεις)<br />
• Υγεία (π.χ. νοσοκομεία, εγκαταστάσεις υγείας και παροχής αίματος, εργαστήρια και φαρμακευτικά<br />
παρασκευάσματα, αναζήτηση και διάσωση, υπηρεσίες εκτάκτων περιστατικών)<br />
• Τρόφιμα (π.χ. ασφάλεια, μέσα παραγωγής, διανομή χονδρικής και βιομηχανία τροφίμων)<br />
• Νερό (π.χ. φράγματα, αποθήκευση, διαχείριση και δίκτυο διανομής)<br />
• Μεταφορές (π.χ. αεροδρόμια, λιμάνια, σιδηρόδρομοι και δίκτυα μαζικής μεταφοράς, συστήματα<br />
ελέγχου κυκλοφορίας)<br />
• Παραγωγή, αποθήκευση και διακίνηση επικίνδυνων αγαθών (π.χ. χημικά, βιολογικά, ραδιενεργά<br />
και πυρηνικά υλικά)<br />
• Κυβερνητικές Υποδομές (π.χ. κρίσιμες υπηρεσίες, εγκαταστάσεις, δίκτυα πληροφοριών, αγαθά<br />
και κύρια εθνικά μνημεία και τόποι)<br />
• Υπηρεσίες διαχείρισης επειγόντων περιστατικών/διάσωσης<br />
• Διάστημα<br />
• Ερευνητικές εγκαταστάσεις<br />
3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP<br />
Σύμφωνα με το [Sut-07], το πρώτο βήμα προς την κατεύθυνση μιας αποδοτικής και αποτελεσματικής<br />
οργανωσιακής μονάδας (organizational unit) CICIP είναι ο ορισμός των θεμελιωδών προτεραιοτήτων<br />
και υπευθυνοτήτων. Αυτά τα ουσιώδη καθήκοντα μπορούν να οργανωθούν σε ένα «Μοντέλο Τεσσάρων<br />
Πυλώνων CICIP». Οι τέσσερις (4) αυτοί βασικοί πυλώνες είναι:<br />
• Πρόληψη και Προειδοποίηση (Prevention and Early Warning): Πρόκειται για δραστηριότητες<br />
που αυξάνουν την ετοιμότητα των εταιριών, που χειρίζονται κρίσιμες υποδομές, ώστε να μπορούν<br />
να αντιμετωπίσουν περιστατικά.<br />
• Ανίχνευση (Detection): Περιλαμβάνει ενέργειες που σχετίζονται με τη δυνατότητα άμεσης ανακάλυψης<br />
νέων απειλών, αλλα και μη εμφανών περιστατικών προσβολής της ασφάλειας, καθώς<br />
και τη συνεργασία CERTs/CSIRTs, για την αποτελεσματική αντιμετώπισή τους.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
36
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Αντίδραση (Reaction): Αναφέρεται στην αναγνώριση και διόρθωση των αιτίων που προκαλούν<br />
την αναστάτωση.<br />
• Διαχείριση Κρίσεων (Crisis Management): Αναφέρεται στην ελαχιστοποίηση των επιπτώσεων,<br />
από μια κρίση, στην κοινωνία και στο κράτος.<br />
Το Σχήμα 3 απεικονίζει διαγραμματικά τα προαναφερθέντα.<br />
3.2.3 Προσεγγίσεις CIP<br />
Σχήμα 3: Πυλώνες CICIP [Sut-07]<br />
Σύμφωνα με το [BSI-04a], υπάρχουν δύο γενικές διαπιστώσεις αναφορικά με την προστασία των κρίσιμων<br />
υποδομών, παγκοσμίως:<br />
1. Είναι αδύνατο να επιτευχθεί 100% ασφάλεια των κρίσιμων υποδομών.<br />
2. Δεν υπάρχει ένας μοναδικός-ιδανικός τρόπος για να αντιμετωπιστεί σε κάθε χώρα το πρόβλημα.<br />
Παρά το γεγονός ότι οι προσεγγίσεις που υιοθετούνται είναι ετερογενείς, υπάρχουν τρεις κύριες<br />
κατηγορίες προσεγγίσεων που μπορούν να αναγνωριστούν:<br />
1. Προσέγγιση «Critical <strong>Information</strong> Infrastructure Protection (CICIP): Αναφέρεται αποκλειστικά<br />
στην ασφάλεια και την προστασία των IT συνδέσεων και των IT λύσεων ανάμεσα στους διαφορετικούς<br />
τομείς υποδομών. Η προστασία των φυσικών στοιχείων των υποδομών διασφαλίζεται μεσα<br />
από ξεχωριστό οργανωσιακό πλαίσιο. Οι λειτουργίες και οι δικαιοδοσίες που σχετίζονται με<br />
CIP είναι διάσπαρτες ανάμεσα σε διαφορετικά όργανα. Γίνονται προσπάθειες για την ενσωμάτωση<br />
του ιδιωτικού τομέα σε όλα τα επίπεδα CIP, σε στοιχειώδες επίπεδο όμως.<br />
2. Προσέγγιση «All Hazards»: Αναφέρεται τόσο στην ασφάλεια των IT υποδομών όσο και στη φυσική<br />
ασφάλεια των κρίσιμων υποδομών. Η φυσική ασφάλεια αποτελεί μέρος του εθνικού μοντέλου<br />
πολιτικής προστασίας και τα αρμόδια όργανα κεντρικού συντονισμού και στρατηγικής είναι<br />
ταυτόχρονα και κέντρα που έχουν επάρκεια και δικαιοδοσία τόσο σε ασφάλεια IT όσο και σε πολιτική<br />
προστασία και έλεγχο καταστροφών. Τα Υπουργεία Άμυνας της κάθε χώρας που ακολουθεί<br />
αυτή τη προσέγγιση κατέχουν προεξάρχοντα ρόλο, λόγω των συντονιστικών τους αρμοδιοτήτων.<br />
Η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα σε επίπεδο στρατηγικού σχεδιασμού είναι<br />
πολύ αδύναμη, ως ανύπαρκτη.<br />
3. Άλλη προσέγγιση, όπως αυτή που ακολουθεί η Κίνα. Δεν υπάρχει καμία συνεργασία μεταξύ δημόσιου<br />
και ιδιωτικού τομέα. Το μοντέλο εξυπηρετεί λιγότερο την προστασία των κρίσιμων υπο-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
37
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
δομών και περισσότερο τη διατήρηση του συστήματος διακυβέρνησης και των οργάνων που αντιπροσωπεύουν<br />
τα συμφέροντα του συγκεντρωτικού Κράτους.<br />
3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων<br />
Σύμφωνα με το [BSI-04a], οι προαναφερθείσες προσεγγίσεις μπορούν να αξιολογηθούν με βάση συγκεκριμένα<br />
κριτηρία, όπως:<br />
• Ύπαρξη εθνικής στρατηγικής (national compelling strategy) για την προστασία των κρίσιμων υ-<br />
ποδομών.<br />
• Ύπαρξη ξεκάθαρων ορισμών αναφορικά με το τι σημαίνει «προστασία κρίσιμων υποδομών».<br />
• Προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι απλή αντιγραφή υπαρχόντων<br />
ώριμων μοντέλων (π.χ. ΗΠΑ).<br />
• Συνυπολογισμός και συνεισφορά του ιδιωτικού τομέα.<br />
• Βαθμός οργάνωσης και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα.<br />
• Διαφάνεια του εθνικού συστήματος για CIP.<br />
3.3 Καταγραφή Οργανωτικών Σχημάτων<br />
3.3.1 Εισαγωγή<br />
Για την καταγραφή των οργανωτικών σχημάτων που ακολουθεί αξιοποιήθηκε η μελέτη [Abe-06],<br />
που περιλαμβάνει αναλυτική καταγραφή των κρίσιμων υποδομών και των οργανωτικών δομών που<br />
έχουν δημιουργηθεί σε έναν αριθμό από χώρες που έχουν επιλεγεί για αποτύπωση.<br />
Η συγκεκριμένη μελέτη, που επικαιροποιείται συνήθως κάθε δύο χρόνια με την προσθήκη νέων χωρών,<br />
εστιάζεται σε πέντε σημαντικά σημεία που καλύπτουν τόσο θεμελιώδη όσο και οργανωτικά θέματα:<br />
• Ορισμός κρίσιμων τομέων (critical sector definitions): Προσδιορισμός των κρίσιμων τομέων για<br />
κάθε χώρα που περιγράφεται στη μελέτη και ορισμοί σχετικά με CII και CICIP από την εκάστοτε<br />
χώρα (όπου υπάρχουν διαθέσιμοι).<br />
• Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική (CICIP initiatives και policy):<br />
Επισκόπηση των πιο σημαντικών βημάτων που έχουν γίνει, σε κυβερνητικό επίπεδο, από το 1990<br />
και μετά, για το χειρισμό θεμάτων CICIP, που ακολουθείται από την κάθε χώρα της μελέτης. Η<br />
μελέτη εστιάζεται σε πρωτοβουλίες (initiatives) και στα κύρια στοιχεία μιας πολιτικής CICIP.<br />
Αυτό περιλαμβάνει: α) συγκεκριμένες επιτροπές (committees and commissions), β) ομάδες κρούσης<br />
(task forces), γ) ομάδες εργασίας (working groups), δ) τα κύρια ευρήματα επίσημων αναφορών<br />
και μελετών (official reports and studies) και εθνικών προγραμμάτων (national programs).<br />
• Οργανωτικές δομές (Organisational structures): Επισκόπηση των σημαντικότερων δημόσιων οργανισμών<br />
(public actors) που έχουν συσταθεί στο εθνικό οργανωτικό πλαίσιο (national organizational<br />
framework) κάθε χώρας που εξετάζεται. Έμφαση δίνεται στις υπευθυνότητές τους σε κρατικό<br />
επίπεδο (state/federal level), όπως Υπουργεία (ministries), Εθνικά Γραφεία (national offices),<br />
Υπηρεσίες (agencies), Συντονιστικές Ομάδες (coordination groups κλπ. Επίσης, περιγράφονται οι<br />
συνεργασίες ιδιωτικού-δημόσιου τομέα (public-private partnerships).<br />
• Μηχανισμοί προειδοποίησης και προσέγγιση κοινού (Early warning and public outreach): Περιγραφή<br />
των εθνικών οργανισμών που είναι υπεύθυνοι για την έγκαιρη ειδοποίηση σε θέματα CIC-<br />
IP (CICIP early warning), δηλαδή οργανισμοί που είναι υπεύθυνοι για τη διαμοίραση πληροφορίας<br />
σχετικής με θέματα CICIP, όπως CERTs (Computer Emergency Response Teams), ISAC (<strong>Information</strong><br />
Sharing and Analysis Centers), κλπ. Επιπλέον, περιγραφή συγκεκριμένων πλάνων για<br />
την ανάπτυξη περιεκτικών δομών έγκαιρης προειδοποίησης και αναφοράς συμβάντων (comprehensive<br />
early warning alert and incident report structures) καθώς και σχετικών πρωτοβουλιών ε-<br />
νημέρωσης του κοινού (public outreach initiatives).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
38
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Νομοθετικό και Κανονιστικό Πλαίσιο: Περιγραφή σημαντικής νομοθεσίας για την προώθηση θεμάτων<br />
σχετικά με CICIP, όπως ασφάλεια πληροφοριών, προστασία δεδομένων, καταστροφή δεδομένων,<br />
ηλεκτρονικές υπογραφές κλπ.<br />
3.3.2 Ευρώπη<br />
3.3.2.1 Γερμανία<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-04a, BSI-04b, BSI-05a, BSI-05b, BMI-05, η κεντρική ιδέα που διέπει<br />
τις δραστηριότητες CIP/CICIP είναι ότι κυβέρνηση και κοινωνία εξαρτώνται, σε μεγάλο βαθμό, από<br />
ασφαλείς υποδομές και το κράτος έχει υποχρέωση να διασφαλίσει την προστασία των κρίσιμων υποδομών.<br />
Το σύστημα πρόσβασης σε πληροφορίες σχετικά με CICIP δεν είναι ιδιαίτερα διαφανές.<br />
Προάγεται η συνεργασία δημόσιου και ιδιωτικού τομέα, δεδομένου ότι περισσότερο από το 90% των<br />
κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτικός τομέας.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Οι σχετικές δράσεις έχουν ξεκινήσει εδώ και 10 χρόνια και αναδύθηκαν με πρωτοβουλία του Federal<br />
Ministry of Interior (BMI), υποκινούμενες από την αναφορά «US President’s Commission on Critical<br />
Infrastructure Protection (PCCIP)» του 1997 (ΗΠΑ) και επιταχύνθηκαν μετά τα γεγονότα της 11.09.<br />
2001 στις ΗΠΑ. Αποτέλεσμα των δράσεων αυτών είναι δύο σημαντικά έγγραφα-κλειδιά παρουσιάστηκαν<br />
το 2005:<br />
• National Plan for <strong>Information</strong> Infrastructure Protection (NPSI): Σκοπεύει στην ενδυνάμωση της<br />
ασφάλειας ΙΤ στις εθνικές υποδομές που εξαρτώνται από αυτή και στη δυνατότητα άμεσης απόκρισης<br />
σε κρίσεις που σχετίζονται με ΙΤ. Αναπτύχθηκε από το CICIP-division του BSI (η συγκεκριμένη<br />
οργανωτική δομή θα περιγραφεί αναλυτικότερα παρακάτω).<br />
• Baseline Protection Concept for Critical Infrastructure Protection: Αναπτύχθηκε σε στενή συνεργασία<br />
μεταξύ των BMI, Federal Office for Civil Protection and Disaster Response (BBK), Federal<br />
Criminal Police Agency (BKA) και του ιδιωτικού τομέα. Παρέχει καθοδήγηση στην ανάλυση<br />
πιθανών κινδύνων (hazards) όπως τρομοκρατικές επιθέσεις, εγκληματικές ενέργειες και φυσικές<br />
καταστροφές, καθώς και συστάσεις για επαρκή προστατευτικά μέτρα.<br />
Πιο αναλυτικά, το «National Plan for the Protection of <strong>Information</strong> Infrastructures» (Nationaler Plan<br />
zum Schutz der <strong>Information</strong>sinfrastrukturen – NPSI) προδιαγράφει τη στρατηγική της Γερμανίας σε<br />
θέματα ασφάλειας ΙΤ, με την ονομασία «IT security strategy for Germany» - Umbrella of the Federation’s<br />
IT <strong>Security</strong> Policy». Ο συντονισμός γίνεται σε διατμηματικό (interdepartmental) επίπεδο, και<br />
υιοθετήθηκε από την Ομοσπονδιακή Κυβέρνηση (Federal Government) στις 13 Ιουλίου 2005. Η ομάδα-στόχος<br />
είναι ολόκληρη η Γερμανική κοινωνία (Οικονομία, Ομοσπονδιακή διοίκηση, πολίτες,<br />
κλπ.) και περιλαμβάνει τρία πεδία: Αποτροπή (Prevention), Αντίδραση (Reaction), Βιωσιμότητα (Sustainability).<br />
Σημαντικές αναφορές/μελέτες που αναπτύχθηκαν είναι οι ακόλουθες:<br />
• Η ομάδα AG KRITIS (που θα περιγραφεί αναλυτικά παρακάτω) διενήργησε μια έρευνα το πρώτο<br />
μισό του 1998 σχετικά με την κατάσταση CICIP στη Γερμανία, ενώ το 2000 εκπόνησε τη μελέτη<br />
με τίτλο «Situation Analysis of Threats and Hazards».<br />
• Το φθινόπωρο του 2001 εκδόθηκε η αναφορά «Comprehensive Reports on Threats and Hazards»<br />
ενώ το 2002 το «Kirchbach Report». Στα μέσα του 2002, σε συνεργασία BMI, BSI, εκπονήθηκαν<br />
«Infrastructure Analysis Studies» ενώ τον Ιούλιο του 2005 εκδόθηκε το «Status Report on the IT<br />
<strong>Security</strong> Situation in Germany». Τον Σεπτέμβριο του 2005 έγινε η έκδοση του «Baseline Protection<br />
Concept for Critical Infrastructure Protection» από τους οργανισμούς BMI, BBK, BKA (περιγράφονται<br />
αναλυτικά παρακάτω).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
39
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ακολούθησαν η καμπάνια «<strong>Security</strong> in the Internet» από τους BMI, BSI, Ministry of Economics,<br />
τα «IT <strong>Security</strong> Guidelines» από το BSI, το «BSI for the Citizen» (για θέματα ενημέρωσης και<br />
υποστήριξης των πολιτών, με κοινή πρωτοβουλία του Γερμανικού Υπουργείου Εσωτερικών-ΒΜΙ<br />
και του Αμερικάνικου US Department of Homeland <strong>Security</strong>).<br />
• Εκδόθηκαν τα «Secure e-Government», «BundOnline 2005» (από το BSI) και «E-Government<br />
Manual» (επίσης από το BSI).<br />
Οργανωτικές Δομές<br />
Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στη Γερμανία περιγράφονται αναλυτικά παρακάτω:<br />
Federal Ministry of Interior (BMI)<br />
Έχει τη συνολική ευθύνη και το συντονισμό των κύριων CIP/CICIP δραστηριοτήτων, σε συνεργασία<br />
με τις υφιστάμενες υπηρεσίες του Federal Office for <strong>Information</strong> <strong>Security</strong> (BSI), Federal Agency of<br />
Civil Protection και Disaster Response (BBK), Federal Law Enforcement Agency (BKA) και Federal<br />
Police (BPOL).<br />
Συντονίζει τις δράσεις αναφορικά με την ανάπτυξη και υλοποίηση στρατηγικής, σε συνεργασία με<br />
άλλα Υπουργεία και Υπηρεσίες, όπως Federal Ministry of Economics και Labour (ΒΜWA), Office<br />
of the Chancellor of the Federal Republic of Germany, Federal Ministry of Justice (BMJ), Federal<br />
Ministry of Foreign Affairs, Federal Ministry of Defense (BMVg) και Federal Network Agency.<br />
Στρατηγικοί εταίροι από τον ιδιωτικό τομέα έχουν συμβουλευτικό ρόλο για το ΒΜΙ, ενώ η Αρχή που<br />
είναι υπεύθυνη για θέματα σχετικά με ΙΤ είναι το Department IT 3 (<strong>Security</strong> of <strong>Information</strong> Systems)<br />
υπό την αιγίδα του Chief <strong>Information</strong> Officer του ΒΜΙ.<br />
Για το συντονισμό των δράσεων μεταξύ BMI και των υφιστάμενων υπηρεσιών ιδρύθηκε στο ΒΜΙ, το<br />
1999, το Task Force for Critical Infrastructure Protection (Project Group/PG AG KRITIS). Αποτελεί<br />
ανεξάρτητη υπηρεσία που λειτουργεί στην περιοχή ευθύνης του BMI. Αποτελείται από αντιπροσώπους<br />
άλλων Υπουργείων και μια Οργανωτική Επιτροπή (Steering Committee), ενώ διατηρεί μόνιμο<br />
γραφείο μέσα στο BSI.<br />
Στο AG KRITIS συμμετέχουν ειδικοί (experts) από συγκεκριμένες Διευθύνσεις Υπηρεσιών, όπως<br />
ΒΜΙ Division IS 5 (physical protection within the context of civil protection and disaster response),<br />
ΒΜΙ Division P II 1 (threat prevention within the context of law enforcement), ΒΜΙ Division IT 3 (all<br />
areas of IT and IT dependence), ΒΚΑ (fight against terrorism), BSI (protection of information technology)<br />
και BBK/BVA/THW (civil defense and protection of the population).<br />
Η κύρια αποστολή του AG KRITIS είναι:<br />
• Η περιγραφή πιθανών σεναρίων σχετικά με απειλές, στη Γερμανία.<br />
• Η εκπόνηση ανάλυσης ευπάθειας στους κρίσιμους τομείς της Γερμανίας.<br />
• Η παροχή προτάσεων για αντίμετρα.<br />
• Η δημιουργία σκαριφήματος για ένα σύστημα έγκαιρης προειδοποίησης (early-warning system).<br />
• Ο συντονισμός και η υλοποίηση κοινών έργων σχετικά με τη βελτίωση της προστασίας των<br />
υποδομών της Γερμανίας.<br />
Το Σχήμα 4 απεικονίζει συνοπτικά τις αρμοδιότητες του BMI.<br />
Federal Office for <strong>Information</strong> <strong>Security</strong> (BSI)<br />
Αποτελεί μια από τις Υπηρεσίες του BMI (Upper Federal Authority). Ιδρύθηκε το 1991 με έδρα τη<br />
Βόννη 16 . Αποτελεί τον κεντρικό πάροχο υπηρεσιών σχετικών με ασφάλεια ΙΤ για τη Γερμανική κυβέρνηση<br />
(Germany’s National <strong>Security</strong> Agency). Κύριες δραστηριότητές του είναι οι ακόλουθες:<br />
16 http://www.bsi.bund.de.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
40
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 4: Αρμοδιότητες BMI [BSI-05b]<br />
• Internet security: analyses, concepts, advice (including the IT Baseline Protection Manual)<br />
• Management of the computer emergency response team (CERT) and virus center<br />
• Network security and cryptology, public key infrastructure (PKI), and biometrics<br />
• Critical infrastructure<br />
• e-Government<br />
• Development of the A<strong>CIS</strong> Methodology for analysing critical infrastructures<br />
To BSI είναι οργανωμένο σε τέσσερις Διευθύνσεις, μία γενική και τρεις εξειδικευμένες. Οι εξειδικευμενες<br />
υπηρεσίες σχετίζονται με τους ακόλουθους τομείς εξειδίκευσης:<br />
I.1.<br />
<strong>Security</strong> in Applications: Consulting, concepts, basic protection, high availability.<br />
I.2. <strong>Security</strong> in Critical Infrastructures, and Internet: Protection of Critical Infrastructures, CERT<br />
Association, penetration, viruses, support of criminal prosecution authorities.<br />
II.1. <strong>Security</strong> in networks: Safe network components, development, crypto-system evaluation.<br />
II.2 Cryptology, basic scientific elements: Key technologies, development, crypto-procedure evaluation,<br />
cryptography, cryptographic technology, and scientific foundations.<br />
III.1 Safety from interception: Counter-Eavesdropping, mobile radio και emission security, warding<br />
off wiretapping.<br />
III.2 Certification, Approval and Accreditation: Certification, accreditation, protection profiles, industrial<br />
cooperation.<br />
Federal Office for Civil Protection and Disaster Response (BBK)<br />
Ιδρύθηκε το Μάιο του 2004, μέσα στο BMI, ως αρμόδια υπηρεσία για την ανάπτυξη μέτρων για τη<br />
βελτίωση της φυσικής ασφάλειας. Μια από τις κύριες λειτουργίες του είναι η ανταλλαγή πληροφοριών<br />
και η κατανομή πόρων σε επείγουσες περιπτώσεις. Λειτουργεί δικτυακό τόπο για πληροφόρηση<br />
και ανάπτυξη δημοσίων σχέσεων με την ονομασία «German Emergency Preparedness <strong>Information</strong><br />
System (deNIS)». Σχετικά με θέματα CICIP αναπτύσσει στενή συνεργασία με το BSI και την Regula-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
41
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
tory Agency for Telecommunications και Post (RegTP). Επιπρόσθετα, αξιολογεί ευπάθειες καθώς και<br />
την επάρκεια και τις αλληλεξαρτήσεις των υπηρεσιών ΤΠΕ, ενώ εκπονεί μελέτες περίπτωσης, πλάνα<br />
ανάκαμψης από καταστροφές και αναπτύσσει κατάλληλα αντίμετρα.<br />
Federal Criminal Police Agency (BKA)<br />
Αποτελεί Υπηρεσία που έχει την ευθύνη για τη δίωξη εγκλημάτων κατά της εσωτερικής και εξωτερικής<br />
ασφάλειας της χώρας. Ειδικότερα, ασχολείται με τη δίωξη εγκλημάτων που σχετίζονται με την<br />
πρόκληση ζημιάς ή την αποδόμηση κρίσιμων υποδομών που μπορούν να έχουν συνέπειες για τη ζωή,<br />
την υγεία και τη λειτουργία της κοινωνίας, γενικότερα. Τέλος, αποτελεί Κεντρική Υπηρεσία για τη<br />
διερεύνηση εγκλημάτων που σχετίζονται με τις ΤΠΕ. Το Σχήμα 5 απεικονίζει συνοπτικά τις υπευθυνότητες<br />
των βασικών Αρχών του BMI.<br />
Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b]<br />
Federal Ministry of Economics and Labour (BMWA)<br />
Περισσότερο από το ενενήντα 90% των κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτικός<br />
τομέας. Το συγκεκριμένο Υπουργείο διαδραματίζει σημαντικό ρόλο στη χάραξη της οικονομικής<br />
πολιτικής. Ειδικά για τον τομέα της ενέργειας, το BMWA είναι αρμόδιο για την ανάπτυξη πλαισίου<br />
για την ασφάλεια της παροχής ενέργειας. Σύμφωνα, επίσης, με το Άρθρο 87f του Γερμανικού Συντάγματος,<br />
είναι υπεύθυνο για τη διασφάλιση της διαθεσιμότητας και της επάρκειας των τηλεπικοινωναικών<br />
υποδομών και υπηρεσιών.<br />
Federal Network Agency<br />
Έτσι μετονομάστηκε η Regulatory Authority for Telecommunications and Posts (RegTP) τον Ιούλιο<br />
του 2005. Η κύρια αρμοδιότητά της είναι η περαιτέρω ανάπτυξη, μέσω της απελευθέρωσης, των αγορών<br />
παροχής ηλεκτρικής ενέργειας, αερίου τηλεπικοινωνιακών και ταχυδρομικών υπηρεσιών και επιπρόσθετα,<br />
από τον Ιανουάριο του 2006, της αγοράς των σιδηροδρομικών υποδομών.<br />
Federal Ministry of Justice (BMJ)<br />
Είναι υπεύθυνο για τη σχετική νομοθεσία και ειδικότερα για τη συμμόρφωση των εθνικών νόμων με<br />
τη συμφωνία για το κυβερνο-έγκλημα που υπογράφηκε στις 23 Νοεμβρίου 2001.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
42
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Federal Ministry of Defense (BMVg)<br />
Είναι υπεύθυνο για την Εθνική Αμυνα.<br />
Federal Chancellery<br />
Έχει συντονιστικό ρόλο σε επίπεδο Υπουργείων.<br />
Federal Intelligence Service (BND) και Federal Office for the Protection of the Constitution (BfV)<br />
Παρέχουν σημαντική πληροφόρηση σχετικά με περιπτώσεις απειλών και τις πιθανές εγχώριες ομάδες-στόχους.<br />
Το Σχήμα 6 απεικονίζει σχηματικά τις Ομοσπονδιακές Αρχές της Γερμανίας που εμπλέκονται σε θέματα<br />
CICIP:<br />
Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b]<br />
Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα (PPP)<br />
Initiative D21<br />
Αποτελεί τη μεγαλύτερη σύμπραξη δημόσιου-ιδιωτικού τομέα στη Γερμανία. Είναι ένας μη κερδοσκοπικός<br />
συνεταιρισμός με πάνω από 400 εταιρείες από διάφορους τομείς. Ο κύριος στόχος της είναι<br />
«…Speed up Germany’s transition from an industrial society to an information society through co-operation<br />
with government and public administration…».<br />
Η συγκεκριμένη σύμπραξη οργανώνεται σε τέσσερις θεματικές περιοχές (steering groups): α) Education,<br />
Qualification and Equality of Opportunity, β) e-Government/<strong>Security</strong> and Trust in the Internet,<br />
γ) <strong>Information</strong> and Communications Technologies in Healthcare και δ) Growth and Competitiveness,<br />
with the focal issues being broadband technology and the mobile society.<br />
Working Group on Infrastructure Protection (AKSIS)<br />
Ιδρύθηκε το 1999, ως πρωτοβουλία του Center for Strategic Studies (ZES) που ανήκει στην εταιρεία<br />
IABG (Industrieanlagen-Betriebsgesellschaft). Κύριος σκοπός του είναι «…to provide a forum for<br />
information exchange to analyze and assess the dependability of CI/CII sectors…».<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
43
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Δεν έχει συγκεκριμένη επίσημη αποστολή που να του έχει ανατεθεί από την κυβέρνηση ή τη βιομηχανία,<br />
ενώ είναι ανεπίσημο και καθαρά εθελοντικό. Διοργανώνονται δύο συναντήσεις το χρόνο όπου<br />
συμμετέχουν αντιπρόσωποι από τον ιδιωτικό και δημόσιο τομέα (Υπουργεία, Αστυνομία, Ένοπλες<br />
Δυνάμεις, Τηλεπικοινωνίες, Ενέργεια, Μεταφορές, Τράπεζες, Ακαδημαϊκή Κοινότητα κλπ.). Γίνεται<br />
προσπάθεια για πιο στενή συνεργασία του AKSIS με τις κυβερνητικές πρωτοβουλίες για CII.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
CERT-Bund<br />
Δημιουργήθηκε το Σεπτέμβριο του 2001 στο BSI και αποτελεί κεντρικό σημείο επαφής για όλες τις<br />
ομοσπονδιακές υπηρεσίες. Κύριο έργο του είναι η προστασία των δικτύων και των κέντρων επεξεργασίας<br />
δεδομένων της ομοσπονδιακής δημόσιας διοίκησης. Μερικές από τις υπηρεσίες του προσφέρονται<br />
και στον ιδιωτικό τομέα (όχι incident response).<br />
Κύριες δραστηριότητες του είναι η ενημέρωση και ανταλλαγή πληροφοριών, η συλλογή δεδομένων,<br />
η ανάλυση και επεξεργασία πληροφοριών, η τεκμηρίωση και διάχυση, και η συνεργασία με υπάρχουσες<br />
CERTs, ενώ προωθεί την ιδέα για τη δημιουργία νέων CERTs. Συμμετέχουν σε αυτό πέντε<br />
CERT μεγάλων εταιρειών με σκοπό την ανταλλαγή πληροφοριών σχετικά με αδυναμίες, ευπάθειες,<br />
απειλές και περιστατικά.<br />
CERT-Network (CERT-Verbund)<br />
Αποτελεί συμμαχία (Alliance) των Γερμανικών CERTs. Παρέχει μια κοινή βάση για τη συνεργασία<br />
μεταξύ των CERTs ενώ επιτρέπει την προστασία των εθνικών δικτύων ΙΤ και τη μετατόπιση των συντονισμένων<br />
αντιδράσεων, σε περίπτωση μεγαλύτερης κλίμακας περιστατικών ασφάλειας ΙΤ.<br />
Mcert<br />
Τον Ιανουάριο του 2002 παρουσιάστηκε η μελέτη «<strong>Security</strong> and Trust in the Internet» που υπογράμμισε<br />
την ανάγκη για τη δημιουργία μιας CERT για μικρομεσαίες επιχειρήσεις, επιπρόσθετα των<br />
υπαρχουσών CERT της Γερμανίας (dCERT, DFN-CERT, S-CERT, secu-CERT, Telekom-CERT, και<br />
CERT-Bund). Ιδρύθηκε με τη συνεργασία των BMWA, BMI και του μη-κερδοσκοπικού οργανισμού<br />
BITKOM, το 2003.<br />
IT Crisis Response Center<br />
Αποτελεί οργανισμό που λειτουργεί μέσα στο BSI, και προσοιμοιάζει με ένα κέντρο ελέγχου και ανάλυσης.<br />
Έχει σαν έργο του να παρέχει συνεχή πληροφόρηση και να εκτιμά με αξιόπιστο τρόπο την<br />
κατάσταση σχετικά με την ασφάλεια ΙΤ των ομοσπονδιακών υπουργείων ώστε να ανταποκρίνεται έ-<br />
γκαιρα σε έκτακτες καταστάσεις και να μπορεί να επανέρχεται έγκαιρα σε ασφαλή κατάσταση. Υποστηρίζει<br />
το Coordination Board fro IT <strong>Security</strong> of the Federal Ministries στην οργάνωση του έγκαιρου<br />
τρόπου απόκρισης και της επιστροφής των πληροφοριακών υποδομών, που έχουν επηρεαστεί, σε<br />
ασφαλή λειτουργία.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι που έχουν αναπτυχθεί στη Γερμανία σχετικά με θέματα CICIP συνοψίζονται<br />
στους ακόλουθους:<br />
• Νομικό πλαίσιο για τις Ηλεκτρονικές Υπογραφές (Law Governing Framework Conditions for E-<br />
lectronic Signatures).<br />
• Νομοθετική πράξη για τις Υπηρεσίες Πληροφοριών και Τηλεπικοινωνιών (<strong>Information</strong> and<br />
Telecommunications Services Act 1997).<br />
• Νομοθετική Πράξη για τις Ηλεκτρονικές Υπογραφές (Electronic Signature Act) 2001/2005.<br />
• Νομοθετική Πράξη για τη χρήση των Τηλευπηρεσιών (Act on the Utilization of Teleservices).<br />
• Νομοθετική Πράξη για την προστασία των προσωπικών δεδομένων στις τηλευπηρεσίες (Teleservices<br />
Data Protection Act).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
44
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Γερμανικός Ποινικός Κώδικας (German Penal Code).<br />
3.3.2.2 Ελβετία<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [BSI-04a] και [Abe-06], από το τέλος του Ψυχρού Πολέμου, οι κίνδυνοι και οι ευπάθειες<br />
που σχετίζονται με τις ΤΠΕ αποτελούν μείζον θέμα στις δημόσιες συζητήσεις (debates) που<br />
λαμβάνουν χώρα στην Ελβετία, σχετικά με την ανάπτυξη πολιτικής ασφάλειας.<br />
Οι προσεγγίσεις CICIP αναπτύσσονται σε συνεργασία της επιχειρηματικής κοινότητας με τις δημόσιες<br />
υπηρεσίες, ενώ έχουν ήδη αναπτυχθεί ισχυροί δεσμοί μεταξύ διάφορων κυβερνητικών οργανισμών<br />
και επιχειρήσεων. Οι συνεργασίες ιδιωτικού-δημόσιου τομέα αποτελούν τους κεντρικούς πυλώνες<br />
της Ελβετικής πολιτικής για θέματα CICIP.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
H πρώτη πρωτοβουλία με την ονομασία «Strategic Leadership Exercise», έλαβε χώρα το 1999 και α-<br />
σχολήθηκε με την επανάσταση των ΤΠΕ και τις σχετικές προκλήσεις στη σύγχρονη κοινωνία, την<br />
πολιτική, την οικονομία, καθώς και άλλους κρίσιμους τομείς. Αποκάλυψε ότι οι CIs της Ελβετίας είναι<br />
αντιμέτωπες με νέους κινδύνους, και είχε ως αποτέλεσμα τη δημοσίευση πρόσκλησης για τη δημιουργία<br />
ενός ανεξάρτητου οργανισμού που θα ασχολείται με θέματα ασφάλειας πληροφοριών.<br />
Η δεύτερη πρωτοβουλία με την ονομασία «Strategy for the <strong>Information</strong> Society Switzerland» καθορίστηκε<br />
από το Ομοσπονδιακό Συμβούλιο (Federal Council) το 1998 και προσδιόρισε τις περιοχές ό-<br />
που απαιτούνται άμεσες ενέργειες. Καθόρισε τέσσερις κατευθυντήριες αρχές: α) Πρόσβαση στην πληροφορία<br />
από τον οποιονδήποτε, β) Παρακίνηση για χρήση των ΤΠΕ, γ) Ελευθερία ανάπτυξης για την<br />
Κοινωνία της Πληροφορίας και δ) Αποδοχή νέων τεχνολογιών.<br />
Συμφωνήθηκε ότι πρόοδοι που συντελούνται από τις ΤΠΕ είναι υψηλής προτεραιότητας.<br />
Το 2000 εκδόθηκε το «<strong>Security</strong> Policy Report 2000», όπου το Ομοσπονδιακό Συμβούλιο αναγνώρισε<br />
το CIP/CICIP ως σκοπό της πολιτικής του για την ασφάλεια. Την ίδια χρονιά εκδόθηκε το «Concept<br />
of <strong>Information</strong> Assurance», που πρότεινε την ίδρυση ενός συστήματος διαχείρισης κρίσεων (special<br />
task force on «<strong>Information</strong> Assurance»). Στα ίδια πρότυπα, το <strong>Information</strong> Society Coordination<br />
Group (ISCG) της Ελβετίας, όρισε την ασφάλεια και τη διαθεσιμότητα των πληροφοριακών υποδομών<br />
ως πρώτης προτεραιότητας θέμα.<br />
Το 2001 πραγματοποιήθηκε από το Strategic Leadership Training το «Exercise INFORMO 2001».<br />
Κύριος στόχος του ήταν Αναθεώρηση της διαδικασίας διασφάλισης των πληροφοριών που δημιουργήθηκε<br />
το 1997 καθώς και η εκπαίδευση του νεοιδρυθέντος Special Task Force on <strong>Information</strong> Assurance<br />
(SONIA) (περιγράφεται αναλυτικά παρακάτω).<br />
Μια άλλη πολιτική που αναπτύχθηκε είναι και η επονομαζόμενη «<strong>Information</strong> Assurance Policy»,<br />
που βασίζεται σε τέσσερις πυλώνες:<br />
• Αποτροπή (Prevention).<br />
• Πρώιμη αναγνώριση (Early recognition), με κύριους εμπλεκόμενους το «Reporting and Analysis<br />
Center for <strong>Information</strong> Assurance (MELANI) (περιγράφεται αναλυτικά παρακάτω).<br />
• Διαχείριση κρίσεων (Crisis management), με κύριους εμπλεκόμενους τους: SONIA, MELANI,<br />
και Federal Office for National Economic Supply (NES), που συμπεριλαμβάνει τo ICT Infrastructure<br />
Unit.<br />
• Επίλυση τεχνικών προβλημάτων (Technical problem solution), με κύριους εμπλεκόμενους τους<br />
MELANI και Risk Analysis InfoSurance Foundation and Federal Office for National Economic<br />
Supply (NES).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
45
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Οργανωτικές δομές<br />
Οι κυριότερες οργανωτικές δομές της Ελβετίας, συνοψίζονται στα ακόλουθα:<br />
Federal Strategy Unit for <strong>Information</strong> Technology (ISB)<br />
Αποτελεί υφιστάμενη Υπηρεσία του Swiss Federal Department of Finance (EFD), η οποία:<br />
• Παράγει οδηγίες, μεθόδους και διαδικασίες για την ασφάλεια πληροφοριών της ομοσπονδιακής<br />
διοίκησης.<br />
• Συλλέγει δεδομένα περιστατικών ασφάλειας.<br />
• Είναι υπεύθυνη για τη λειτουργία του Special Task Force on <strong>Information</strong> Assurance (SONIA) και<br />
του Reporting and Analysis Center (MELANI), καθώς και για την υλοποίηση της πολιτικής διασφάλισης<br />
των πληροφοριών.<br />
Federal Office for Communication (OFCOM)<br />
Αποτελεί το κύριο κανονιστικό όργανο, στον τομέα των τηλεπικοινωνιών και των ΤΠΕ. Ασχολείται<br />
με κινδύνους που επερεάζουν την Κοινωνία της Πληροφορίας.<br />
Federal Office for National Economic Supply (NES)<br />
Περιλαμβάνει το ICT Infrastructure Unit και αναφέρει στο Swiss Federal Department of Economic<br />
Affairs. Διαδραματίζει σημαντικό ρόλο στο πεδίο της ελαχιστοποίησης ζημίας.<br />
Federal Office of IT, Systems and Telecommunication (FOITT)<br />
Αναφέρει στο Swiss Federal Department of Finance. Οι αρμοδιότητές του συμεριλαμβάνουν την<br />
ασφάλεια και την ετοιμότητα σε περιπτώσεις επειγόντων περιστατικών που επηρεάζουν τα ομοσπονδιακά<br />
πληροφοριακά συστήματα διοίκησης, σε επιχειρησιακό επίπεδο.<br />
Coordination Unit for Cybercrime Control (CYCO)<br />
Αποτελεί μέρος του Federal Office of Police (FedPol). Επιβλέπει το Διαδίκτυο για την εύρεση εγκληματικού<br />
περιεχομένου. Είναι υπεύθυνο για τη σε βάθος-ανάλυση του κυβερνοεγκλήματος, ενώ<br />
συνεργάζεται άμεσα με το MELANI.<br />
Federal Department of Defense, Civil Protection, and Sports (DDPS)<br />
Πραγματοποιεί επιχειρήσεις που σχετίζονται με πληροφοριακές υποδομές και προετοιμάζεται κατάλληλα<br />
για να αντιμετωπίσει τις προκλήσεις της επανάστασης της πληροφορίας.<br />
Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα<br />
InfoSurance Association 17<br />
Ιδρύθηκε το 1999 από έναν αριθμό από εταιρείες, με την υποστήριξη της κυβέρνησης. Ο σκοπός του<br />
είναι η βελτίωση της επαγρύπνησης που σχετίζεται με θέματα διασφάλισης πληροφοριών. Η ομάδαστόχος<br />
του είναι οι μικρομεσαίες επιχειρήσεις, με εστίαση στην αποτροπή.<br />
Federal Office for National Economic Supply (NES): ICT Infrastructure Unit (ICT-I)<br />
Εργάζεται σε στενή συνεργασία με τον ιδιωτικό τομέα και διενεργεί αναλύσεις κινδύνων σε συγκεκριμένους<br />
τομείς.<br />
17 http://www.infosurance.ch.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
46
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
CLUSIS<br />
Αποτελεί μη-κερδοσκοπικό οργανισμό, που ιδρύθηκε το 1989 και αριθμεί 230 μέλη, μεταξύ των ο-<br />
ποίων δημόσιες υπηρεσίες της Ελβετίας, προμηθευτές ΙΤ, παρόχους, τράπεζες, βιομηχανίες, συμβούλους<br />
κλπ. Καλύπτει, κυρίως, το γαλλικό και το ιταλικό μέρος της Ελβετίας.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Reporting and Analysis Center for <strong>Information</strong> Assurance (MELANI)<br />
Λειτουργεί από τον Οκτώβριο του 2004 και αποτελεί τον πυρήνα των Ελβετικών μηχανισμών προειδοποίησης<br />
και προσέγγισης κοινού σχετικά με CICIP. Διοικείται από το Federal Strategy Unit for<br />
<strong>Information</strong> Technology (ISB) και είναι δομημένο ως μόνιμο όργανο. Οι κύριες εργασίες του αφορούν<br />
τρεις βασικούς εταίρους:<br />
• ISB: Είναι υπεύθυνο για στρατηγικά θέματα και για τη διαχείριση του MELANI.<br />
• FedPol: Λειτουργεί το κέντρο ανάλυσης MELANI και είναι υπεύθυνο για τη συλλογή, συμπύκνωση,<br />
και παρουσίαση επιχειρησιακής πληροφόρησης, από διαφορετικές πηγές, τόσο στο δημόσιο<br />
όσο και στον ιδιωτικό τομέα.<br />
• Swiss Education and Research Network (SWITCH): Λειτουργεί το Computer Emergency Response<br />
Team (SWITCH-CERT) και είναι υπεύθυνο για τη διαχείρης τεχνικών περιστατικών.<br />
Δικτυακός τόπος MELANI<br />
Έχει δύο κύρια πεδία (domains):<br />
• MELANI-Net: Για επιλεγμένους διαχειριστές (operators) CIs<br />
• MELANI: Ανοικτό και διαθέσιμο σε ιδιωτικούς χρήστες και μικρομεσαίες επιχειρήσεις.<br />
Special Task Force on <strong>Information</strong> Assurance (SONIA)<br />
Διοικείται από το ISB και αποτελεί τον κύριο Οργανισμό Διαχείρισης Κρίσεων (Crisis Management<br />
Organisation). Αποτελεί στοιχείο-πυρήνα του 3 ου πυλώνα της Ελβετικής πολιτικής για τη διασφάλιση<br />
πληροφοριών που είναι η ελαχιστοποίηση και ο περιορισμός της ζημίας (damage limitation).<br />
Αποτελεί συμβουλευτικό όργανο για το Federal Council και για ανώτατα στελέχη διοίκησης, που<br />
αποτελούν εκπροσώπους του ιδιωτικού τομέα, σε περιπτώσεις κρίσεων. Λειτουργεί ως σύνδεσμος<br />
μεταξύ ιδιωτικού και δημόσιου τομέα. Δεν είναι μόνιμο όργανο και υποστηρίζεται από το ICT Infrastructure<br />
Unit του NES, για θέματα βελτίωσης της ενημέρωσης (raise awareness), και από το ΜELA-<br />
NI, που αποτελεί τον πάροχο αξιόπιστης πληροφορίας.<br />
SWITCH-CERT<br />
Βοηθά τους πελάτες του (διαχειριστές CI διαμέσου του MELANI, πανεπιστήμια και άλλα ινστιτούτα)<br />
στη διαχείριση της προβλημάτων που σχετίζονται με την ασφάλεια πληροφοριών. Αντιπροσωπεύει<br />
τα συμφέροντα της Ελβετίας, ως ερευνητικό κέντρο, σε διάφορα όργανα, και συνεργάζεται στενά με<br />
το MELANI.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι της Ελβετίας, που σχετίζονται με θέματα ασφάλειας, είναι οι ακόλουθοι:<br />
• Ελβετικός Ποινικός Κώδικας (Swiss Penal Code), όπου υπάρχει ένας αριθμός από άρθρα, στο<br />
πλαίσιο CICIP, όπως τα 143 (unauthorised procurement of data), 144 (damage to property), 144<br />
bis (damage to data), 147 (fraudulent use of a computer).<br />
• «Convention on Cybercrime of the Council of Europe», που έγινε αποδεκτή από το Federal<br />
Council of Switzerland το 2001.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
47
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3.3.2.3 Ηνωμένο Βασίλειο<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-04a], στο Ηνωμένο Βασίλειο υπάρχουν ξεκάθαροι ορισμοί των κρίσιμων<br />
τομέων καθώς και ξεκάθαροι ορισμοί για το τί σημαίνει CIP. Οι προσεγγίσεις που ακολουθούνται<br />
σε θέματα CICIP γίνονται από κοινού με συνεργασία της επιχειρηματικής κοινότητας και των<br />
κυβερνητικών υπηρεσιών. Το CICIP ενσωματώνεται στις καθολικές προσπάθειες για πάταξη της<br />
τρομοκρατίας, όπου οι Υπηρεσίες πληροφοριών (Intelligence Community) διαδραματίζουν ιδιαίτερο<br />
ρόλο. Ισχυροί δεσμοί έχουν ήδη αναπτυχθεί μεταξύ του ιδιωτικού και του δημόσιου τομέα. Το σύστημα<br />
πρόσβασης σε πληροφορίες μπορεί να χαρακτηριστεί «διαφανές», ενώ υπάρχουν παραλληλισμοί<br />
με μοντέλα των ΗΠΑ.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Το 1998 αναπτύχθηκε η «Approach to <strong>Information</strong> Society», με το όνομα «E-commerce@its.bet.uk»<br />
από το Performance and Innovation Unit. Λίγο αργότερα, παρουσιάστηκε η «UK Online Strategy»<br />
που περιελάμβανε το «UK Online Action Plan», με 113 συστάσεις (recommendations) και 26 υποχρεώσεις<br />
(commitments). Στις 3 Μαρτίου του 2003 παρουσιάστηκε το «Progress Report on Electronic<br />
<strong>Security</strong>».<br />
Κατευθυντήριες γραμμές σχετικά τη χάραξη πολιτικής για CICIP παρουσιάστηκαν στις 22 Νοεμβρίου<br />
2005, με την αναφορά με τίτλο «<strong>Information</strong> Assurance Governance Framework – Working in<br />
partnership for a secure and resilient UK information infrastructure». Η αναφορά αυτή συμπλήρωσε<br />
τις στρατηγικές σχετικά με την αντιτρομοκρατία, τις θεωρήσεις για την εθνική ασφάλεια, καθώς και<br />
τα μέτρα κατά των εγκλημάτων που κάνουν χρήση υψηλής τεχνολογίας (high-tech crime). Ως συντονιστικό<br />
όργανο για τη στρατηγική αυτή ορίστηκε το Central Sponsor for <strong>Information</strong> Assurance<br />
(CSIA) (περιγράφεται αναλυτικά παρακάτω).<br />
Οργανωτικές δομές<br />
H κύρια αρμοδιότητα σχετικά με CICIP ανήκει στο Ηome Secretary 18 , ενώ και άλλα τμήματα<br />
παίζουν ρόλο στην προστασία των κρίσιμων εθνικών υποδομών (Critical National Infrastructures –<br />
CNIs). Ο κύριος διατμηματικός οργανισμός που σχετίζεται με θέματα CIP/CICIP issues, από την<br />
πλευρά του κράτους, είναι το National Infrastructure <strong>Security</strong> Coordination Centre (NISCC).<br />
Οι πολιτικές διατυπώνονται και αναπτύσσονται μέσα από διάλογο ανάμεσα σε διάφορες υπηρεσίες,<br />
όπως NISCC, CSIA, Civil Contigencies Secretariat (CCS) (που συντονίζει την ανταπόκριση της κυβέρνησης<br />
σε θέματα αντιμετώπισης και ανάκαμψης από επείγοντα περιστατικά), καθώς και του Cabinet<br />
Office <strong>Security</strong> Policy Division.<br />
Ακολουθεί μια σύντομη περιγραφή των κυριότερων οργανωτικών δομών του Ηνωμένου Βασιλείου:<br />
National Infrastructure <strong>Security</strong> Coordination Centre (NISCC)<br />
Ιδρύθηκε το Δεκέμβριο του 1999 και είναι υπέυθυνο για την προστασία των CNIs από ηλεκτρονικές<br />
επιθέσεις. Η οργανωτική του δομή περιλαμβάνει:<br />
• Διευθυντή (Director): Αναφέρει στο Εκτελεστικό Συμβούλιο (Executive Board).<br />
• Εκτελεστικό Συμβούλιο (Εxecutive Board): Σε αυτό συνεισφέρουν το Cabinet Office, το Communications<br />
Electronics <strong>Security</strong> Group (αποτελεί την κυβερνητική αρχή για τεχνικά θέματα α-<br />
σφάλειας πληροφοριών), το Home Office και το <strong>Security</strong> Service.<br />
• Δύο ομάδες ενδιαφερομένων (two stakeholder groups): Αντιπροσωπεύουν τον ιδιωτικό και το<br />
δημόσιο τομέα.<br />
Το συγκεκριμένο Κέντρο διαχέει πληροφόρηση σχετικά με απειλές και ευπάθειες σε CNI partners,<br />
διαμέσου του UNIRAS που αποτελεί το CERT της κυβέρνησης του Ηνωμένου Βασιλείου.<br />
18 http://www.homeoffice.gov.uk.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
48
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Cabinet Office<br />
Συνεισφέρει σε θέματα πολιτικών και συντονισμού, ενώ συνεργάζεται στενά με το NISCC, διαμέσου<br />
των CCS και CSIA μονάδων.<br />
Communications Electronic <strong>Security</strong> Group (CESG)<br />
Αποτελεί το βραχίονα του Government Communications Headquarters (GCHQ), σε θέματα διασφάλισης<br />
πληροφοριών. Αποτελεί την εθνική τεχνική αρχή για θέματα ασφάλειας πληροφοριών ενώ εκπονεί<br />
την πολιτική σχετικά με τη διασφάλιση πληροφοριών.<br />
Department of Trade and Industry (DTI)<br />
Βοηθά το NISCC, διαμέσου της προώθησης του προτύπου ISO-17799.<br />
Home Office<br />
Αποτελεί τη γραμμή αναφοράς του NISCC και προεδρεύσει στο NISCC Management Board.<br />
Ministry of Defense (MoD)<br />
Το Defense Research Centre (DSTL) του MoD διεξάγει έρευνα τόσο για το NISCC όσο και για το<br />
MoD. Περιλαμβάνει μια ιεραρχία από CERTs, που συνεργάζονται στενά με το UNIRAS.<br />
Police<br />
Το National High Tech Crime Unit (NHTCU) της Αστυνομίας αποτελεί στενό συνεργάτη του NISCC.<br />
<strong>Security</strong> Service<br />
Συνεισφέρει με εμπειρία και τεχνογνωσία σε θέματα έρευνας για απειλές, ανάλυσης πληροφοριών<br />
και προληπτικής ασφάλειας στο NISCC. Η μονάδα του που ονομάζεται National <strong>Security</strong> Advice<br />
Centre (NSAC) συνεισφέρει σε θέματα προστασίας σημαντικών κυβερνητικών αγαθών.<br />
Central Sponsor for <strong>Information</strong> Assurance (CSIA)<br />
Δημιουργήθηκε επίσημα την 1 η Απριλίου 2003 μέσα στο Cabinet Office. Προωθεί τη διασφάλιση<br />
πληροφοριών και την ανάλυση κινδύνων στην κυβέρνηση.<br />
Civil Contigencies Secretariat (CCS)<br />
Αποτελεί, επίσης, κομμάτι του Cabinet Office. Ιδρύθηκε τον Ιούλιο του 2001 και αναφέρει στον<br />
Πρωθυπουργό της χώρας διαμέσου του συντονιστή ασφάλειας και ανάλυσης πληροφοριών (security<br />
and intelligence coordinator) και της μόνιμης γραμματείας (permanent secretary) του Cabinet Office.<br />
Έχει τρεις διευθύνσεις: α) Διεύθυνση Εκτιμήσεων (Assessments division), που αξιολογεί πιθανούς<br />
και αναδυόμενους κινδύνους, β) Διεύθυνση Λειτουργιών (Operations division), που αναπτύσσει και<br />
επιθεωρεί πλάνα επιχειρησιακής συνέχειας που αναπτύσσονται για τμήματα και γ) Διεύθυνση Πολιτικής<br />
(Policy division), που παρέχει υποστήριξη στην Cabinet Secretariat σε θέματα διαχείρισης συνεπειών<br />
(consequence management).<br />
Τέλος, αναπόσπαστο κομμάτι του CCS αποτελεί το Emergency Planning College που διαδραματίζει<br />
κύριο ρόλο στη διάδοση του δόγματος του Ηνωμένου Βασιλείου σχετικά με την ανθεκτικότητα (resilience)<br />
των συστημάτων.<br />
Συμπράξεις Δημόσιου-Ιδιωτικού Τομέα (PPP)<br />
Οι κυριότερες συμπράξεις δημόσιου-ιδιωτικού τομέα στο Ηνωμένο Βασίλειο είναι οι ακόλουθες:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
49
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
NISCC’s PPP<br />
Υπάρχουν δύο τύποι πρωτοβουλιών για την ανταλλαγή πληροφορίας: α) Ανταλλαγή πληροφοριών<br />
σχετικά με θέματα αεροπλοίας, κυβέρνησης, παρόχους διαχειριζόμενων υπηρεσιών (Managed-service<br />
providers), βιομηχανία τηλεπικοινωνιών, οικονομία, τεχνολογίες Supervisory Control and Data<br />
Acquisition (SCADA), πωλητές, κ.λπ. και β) Warning, Advice and Reporting Points (EARPs) που παρέχουν<br />
μια οικονομικά αποδοτική εναλλακτική λύση των CERTs και ISACs. Αυτή τη στιγμή λειτουργούν<br />
οκτώ.<br />
<strong>Information</strong> Assurance Advisory Council (IAAC) 19<br />
Ιδρύθηκε το 2000. Δεν αποτελεί μέρος της κυβέρνησης του Ηνωμένου Βασιλείου, αλλά έχει κυβερνητική<br />
εκπροσώπηση. Πραγματοποιεί συστάσεις σχετικά με πολιτικές, ενώ υποβοηθά το διάλογο σε<br />
διατομεακό επίπεδο. Έχει ενεργούς συνδέσμους με το NISCC, το DTI, το Office for Science and<br />
Technology (OST), τον ιδιωτικό τομέα και το στρατό. Αυτή τη στιγμή είναι σε λειτουργία 5 ομάδες<br />
εργασίας: α) Εκτίμηση Απειλών, β) Εκτίμηση Κινδύνων, γ) Πρότυπα, δ) Έρευνα και Τεχνολογική Α-<br />
νάπτυξη, και ε) Εκπαίδευση και προσέγγιση κοινού.<br />
Τέλος, συνεργασίες που αναφέρονται επιγραμματικά είναι οι British Computer Society (BCS), Internet<br />
<strong>Security</strong> Forum, National Computing Centre, Internet Watch Foundation, και Confederation of<br />
British Industry.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγισης κοινού που έχουν αναπτυχθεί στο Ηνωμενο<br />
Βασίλειο είναι οι ακόλουθοι:<br />
Unified Incident Reporting and Alert Scheme (UNIRAS)<br />
Αποτελεί το CERT της βρετανικής κυβέρνησης και λειτουργεί από το NISCC. Αντλεί τεχνική υποστηριξη<br />
από το CESG ενώ εκδίδει «Alerts» και «Briefings» σχετικά με ευπάθειες στην ασφάλεια ΙΤ.<br />
Ministry of Defence Computer Emergency Response Team (MOD-CERT)<br />
Το ΜOD αποτελεί οργανισμό-μέλος του Federation of Incident Response <strong>Security</strong> Teams (FIRST)<br />
και του Trusted Introducer (TI). Το MODCERT αποτελείται από: α) Ένα κεντρικό σημείο συντονισμού<br />
(Central coordination center), β) Κέντρα παρακολούθησης και αναφοράς (Monitoring and reporting<br />
centers), γ) Σημεία Προειδοποίησης, συμβουλών και αναφορών (Warning, Advice and Reporting<br />
Points - WARPs) και δ) Ομάδες αντιμετώπισης περιστατικών (Incident response teams).<br />
Το MOD-CERT συνεργάζεται στενά με το UNIRAS.<br />
ITsafe: IT <strong>Security</strong> Awareness for Everyone<br />
Δημιουργήθηκε το Φεβρουάριο του 2005. Χρηματοδοτείται από το Home Office, το συντονισμό του<br />
έχει η CSIA και αντλεί πληροφόρηση από το NISCC.<br />
GetSafeOnline<br />
Λειτουργεί από τον Οκτώβριο του 2005. Αποτελεί συνεργασία μεταξύ ιδιωτικού τομέα και κυβέρνησης.<br />
Χορηγοί του είναι το CSIA, το DTI, το Home Office και το NISCC.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Κύριοι νόμοι που σχετίζονται με θέματα CICIP είναι οι: α) Computer Misuse Act του 1990 και β) Police<br />
and Justice Bill του 2006.<br />
19 http://www.iaac.gov.uk.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
50
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3.3.2.4 Ολλανδία<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-04a], στην Ολλανδία οι ορισμοί σχετικά με τους κρίσιμους τομείς είναι<br />
σαφείς, όπως και η ερμηνεία σχετικά με CIP. Όλες οι λειτουργίες σε επίπεδο τακτικής και διαχείρισης<br />
θεωρείται ότι αφορούν και τον ιδιωτικό και το δημόσιο τομέα, ή εκχωρούνται, αποκλειστικά,<br />
στον ιδιωτικό τομέα.<br />
Βάσει του Ολλανδικού μοντέλου, κάθε κρίσιμος τομέας/κάθε χρήστης ΤΠΕ είναι υπεύθυνος για τις<br />
δικές του υποδομές, ενώ ο ιδιωτικός τομέας διαδραματίζει πολύ σημαντικό ρόλο. Σημειώνεται ότι,<br />
δεν υπάρχει κεντρικός κρατικός οργανισμός που συντονίζει τα εθνικά μέτρα για CIP, αλλά η λειτουργία<br />
αυτή γίνεται από τον ιδιωτικό τομέα, ειδικότερα από το Electronic, Commerce, Platform NetherLands<br />
(ECP.NL), που αναλύεται σε επόμενη ενότητα.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Το 1999 παρουσιάστηκε το πλαίσιο για τις ΤΠΕ στα επόμενα 3-5 χρόνια, με την ονομασία «Digital<br />
Delta». Το 2000 ακολούθησε το «Defense Whitepaper 2000», ενώ το Μάρτιο του 2000 η «Infodrome<br />
Initiative and BITBREUK (In Bits and Pieces)» ενεργοποίησε τη συζήτηση σχετικά με την ανάγκη<br />
προστασίας των CII.<br />
Το 2001 εκδόθηκε το «KWINT Report and Memorandum» για τα Υπουργεία Μεταφορών, Δημοσίων<br />
Έργων και Διαχείρισης Υδάτων της Ολλανδίας. Βάσει αυτού προτάθηκε η δημιουργία ενός μιας διατμηματικής<br />
ομάδας εργασίας από τα Υπουργεία Οικονομικών Σχέσεων, Άμυνας, Οικονομίας, Εσωτερικών,<br />
Δικαιοσύνης και Μεταφορών (Γενική Διεύθυνση Ταχυδρομείων και Τηλεπικοινωνιών).<br />
Το αποτέλεσμα ήταν το «KWINT government memorandum», βάσει του οποίου υλοποιήθηκαν τα παρακάτω:<br />
• Μια αναφορά σχετικά με τις «Ευπάθειες στο Διαδίκτυο» («Vulnerability of the Internet»), που δημοσιεύτηκε<br />
στις 06.07.2001.<br />
• Η δημιουργία του CERT GOVCERT.NL.<br />
• H δημιουργία του εθνικού CERT.<br />
• H δημιουργία ενός συστήματος επαγρύπνησης σχετικά με κακόβουλο λογισμικό (malware alerting<br />
service) για μικρομεσαίες επιχειρήσεις (SME).<br />
• Η εκχώρηση συγκεκριμένων εργασιών στο ECP.NL (πλατφόρμα ιδιωτικού-δημόσιου τομέα σχετικά<br />
με το ηλεκτρονικό εμπόριο που αναλύεται παρακάτω).<br />
Το πρόγραμμα KWINT για τα έτη 2002-2005 προέβλεπε ενέργειες σχετικά με την προστασία και την<br />
ασφαλή χρήση του Διαδικτύου. Ο διάδοχός του KWINT ονομάστηκε «Veilige Elektronische Communicatie<br />
– VEC», για τα έτη 2006-2008.<br />
Το 2002 δρομολογήθηκε η πρωτοβουλία με την ονομασία «Quick Scan on Critical Products and<br />
Services». Σύμφωνα με αυτήν, άρχισε η υλοποίηση του CIP έργου με τίτλο «Προστασία της Κρίσιμης<br />
Υποδομής της Ολλανδίας» («Protection of the Dutch Critical Infrastructure»). Στο πλαίσιο του έργου<br />
αυτού δημιουργήθηκε ειδικό ερωτηματολόγιο (Quick Scan Questionnaire), με σκοπό την αναγνώριση<br />
των τομέων, των προϊόντων και των υπηρεσιών που αποτελούν την κρίσιμη εθνική υποδομή. Τα<br />
αποτελέσματα των συλλεχθέντων στοιχείων αναλύθηκαν τον Ιούνιο του 2002.<br />
Τον Απρίλιο του 2003 δημοσιεύτηκαν τα αποτελέσματα της σχετικής έρευνας από το Υπουργείο Ε-<br />
σωτερικών και Βασιλικών Σχέσεων (Ministry of Interior και Kingdom Relations). Σημειώνεται ότι η<br />
έρευνα πραγματοποιήθηκε σε στενή συνεργασία με τον Ολλανδικό Οργανισμό Εφαρμοσμένης Επιστημονικής<br />
Έρευνας (Netherlands Organization for Applied Scientific Research - TNO).<br />
Το Σεπτέμβριο του 2005 ανακοινώθηκαν οι σχετικές ενέργειες που θα έπρεπε να λάβουν χώρα, μεταξύ<br />
των οποίων ήταν η δημιουργία του «Critical Infrastructure Strategic Consultation Group (SOVI)».<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
51
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Με πρωτοβουλία του Υπουργείου Εσωτερικών και Βασιλικών Σχέσεων, εκπονήθηκε ένα περιεκτικό<br />
πακέτο από μέτρα για την προστασία των κρίσιμων υποδομών, τόσο του ιδιωτικού όσο και του δημόσιου<br />
τομέα. Το χρονικό διάστημα 2002-2004 ο συντονισμός του ανατέθηκε στο National Coordination<br />
Center (NCC) του Υπουργείου, ενώ μετά το Σεπτέμβριο του 2004 ο συντονισμός γίνεται από το<br />
Directorate of Crisis Management του ίδιου Υπουργείου.<br />
Σύμφωνα με το πακέτο, τα βήματα ενός έργου CIP περιλαμβάνουν τα ακόλουθα: α) Ανάλυση των<br />
κρίσιμων υποδομών της Ολλανδίας, β) Προσομοίωση συνεργασίας ιδιωτικού-δημόσιου τομέα (PPP),<br />
γ) Ανάλυση κινδύνων και ευπαθειών, δ) Ανάλυση χάσματος και μέτρα προστασίας και ε) Οργανωτικές<br />
δομές.<br />
Οι κυριότερες οργανωτικές δομές της Ολλανδίας είναι οι ακόλουθες:<br />
Ministry of Economic Affairs/Directorate General Telecom and Post<br />
Είναι υπεύθυνο για την πολιτική προστασίας στις τηλεπικοινωνίες και το Διαδίκτυο. Άλλες Υπηρεσίες<br />
του είναι υπεύθυνες για πολιτικές CIP/CICIP σχετικά με τον ιδιωτικό τομέα, συμπεριλαμβανομενων<br />
των μικρομεσαίων επιχειρήσεων.<br />
Ministry of Interior and Kingdom Relations (BZK)<br />
Είναι υπεύθυνο (σε όρους πολιτικής) για την προστασία των κυβερνητικών πληροφοριακών υποδομών<br />
(government information infrastructures (government CICIP). Περιλαμβάνει το Directorate of<br />
Crisis Management και το National Coordination Center (ΝCC). Το NCC έχει την ευθύνη για συντονιστικές<br />
ενέργειες, σε επίπεδο πολιτικής, σε περιπτώσεις εκτάκτων αναγκών και καταστροφών με<br />
επιπτώσεις σε εθνικό επίπεδο. Το BZK είναι υπεύθυνο για το κυβερνητικό CERT GOVCERT.NL.<br />
General Intelligence and <strong>Security</strong> Service (AIVD)<br />
Αποτελεί Διεύθυνση του ΒΖΚ. Έχει ως κύριες αρμοδιότητες την προστασία της πληροφορίας και των<br />
ζωτικών τομέων της Ολλανδικής κοινωνίας καθώς και την αποκάλυψη περιπτώσεων αθέμιτου ανταγωνισμού,<br />
όπως οικονομικής κατασκοπίας, που θα μπορούσε να βλάψει τα Ολλανδικά συμφέροντα.<br />
Επίσης χειρίζεται θέματα πληροφοριών του εξωτερικού (foreign intelligence) ενώ είναι υπεύθυνη για<br />
την ανάλυση πιθανών απειλών των Ολλανδικών τομέων CI.<br />
Ministry of Economic Affairs (EZ)<br />
Η κύρια Διεύθυνσή του, που ασχολείται με θέματα υποδομών είναι η Directorate for Energy and Telecommunications.<br />
Κύριοι στόχοι της είναι η ενδυνάμωση της ανταγωνιστικής θέσης της Ολλανδίας,<br />
στο πεδίο των τηλεπικοινωνιών, της τηλεματικής και των ταχυδρομικών υπηρεσιών. Διασφαλίζει την<br />
αδιάλειπτη λειτουργία και την παροχή των κρίσιμων ενεργειακών και τηλεπικοινωνιακών υπηρεσιών,<br />
σε πολίτες και εταιρείες. Τέλος, είναι υπέθυνη για την πολιτική CIP/CICIP για τους ιδιωτικούς τομείς<br />
της ενέργειας και των τηλεπικοινωνιών, καθώς και για την ιδιωτική βιομηχανία, περιλαμβανομένων<br />
των μικρομεσαίων επιχειρήσεων.<br />
Ministry of Transport, Public Works, and Water Management (VκαιW)<br />
Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη διαχείριση<br />
υδάτων και μεταφορών.<br />
Ministry of Housing, Spatial Planning, and the Environment (VROM)<br />
Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη χημική<br />
και πυρηνική βιομηχανία, καθώς και τις υποδομές πόσιμου νερού.<br />
Ministry of Health, Welfare and Sports (VWS)<br />
Είναι υπεύθυνο για το συντονισμό και την προστασία των κρίσιμων υπηρεσιών του τομέα υγείας<br />
(περιλαμβανομένης της βιοχημικής ποιότητας του υδροφόρου ορίζοντα).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
52
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
National High-Tech Crime Center (NHTCC)<br />
Αποτελεί κοινή πρωτοβουλία των Netherlands Police Agency KLPD, Ministry of the Interior and<br />
Kingdom Relations, Ministry of Economic Affairs, και Ministry of Justice. Ασχολείται με εγκλήματα<br />
κατά των ΤΠΕ που έλαβαν χώρα από το 2004 και έπειτα. Υποστηρίζει τόσο τη συνεργασία μεταξύ υ-<br />
πηρεσιών όσο και τη συνεργασία ιδιωτικού-δημόσιου τομέα, καθώς και την ανταλλαγή πληροφοριών<br />
τόσο σε εθνικό όσο και σε διεθνές επίπεδο.<br />
Συνεργασίες Δημόσιου και Ιδιωτικού Τομέα (PPP)<br />
Οι κυριότερες συνεργασίες/συμπράξεις ιδιωτικού - δημόσιου τομέα που έχουν αναπτυχθεί στην Ολλανδία<br />
είναι οι ακόλουθες:<br />
Platform Electronic Commerce in the Netherlands (ECP.NL)<br />
Ανήκει στο Υπουργείο Οικονομικών Υποθέσεων και είναι επιφορτισμένο με την υλοποίηση των κατευθυντήριων<br />
γραμμών δράσης του KWINT Memorandum.<br />
National Continuity Plan for Telecommunications (NACOTEL)<br />
Πρόκειται για τη σύμπραξη που ορίζει την πολιτική εκτάκτου ανάγκης και διαχείρισης κρίσεων στον<br />
τηλεπικοινωνιακό τομέα. Ενδεικτικά, μέλη του αποτελούν οι: BT, Enertel, KPN Telecom, Telfort, O-<br />
range, T-Mobile, Ministry of Economic Affairs.<br />
National Continuity Consultation Platform Telecommunications (NCO-T)<br />
Η συγκεκριμένη σύμπραξη υπερκαλύπτει το NACOTEL, με κύριες εργασίες: α) Τον ορισμό προληπτικών<br />
μέτρων για την αποτροπή δυσλειτουργιών και κρίσεων που μπορεί να επηρεάσουν ζωτικά<br />
συμφέροντα και β) τη λήψη προπαρασκευαστικών μέτρων για την επίλυση δυσλειτουργιών και κρίσεων,<br />
όσο το δυνατόν πιο γρήγορα, με τη μικρότερη δυνατή πρόκληση ζημίας σε ζωτικά συμφέροντα.<br />
Της σύμπραξης προεδρεύει ένας από τους Διευθυντές του Ολλανδικού Υπουργείου Οικονομικών Υποθέσεων<br />
(Γενική Διεύθυνση Ενέργειας και Τηλεπικοινωνιών).<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Οι κυριότεροι μηχανισμοί προειδοποίησης και ενημέρωσης κοινού είναι οι παρακάτω:<br />
CERT-NL (part of SURFnet)<br />
Αποτελεί το CERT του SURFnet, που είναι ο πάροχος υπηρεσιών Διαδικτύου για ινστιτούτα ανώτερης<br />
εκπαίδευσης και για πολλούς ερευνητικούς οργανισμούς στην Ολλανδία. Χειρίζεται όλα τα περιστατικά<br />
ασφάλειας που αφορούν τους πελάτες του SURFnet, είτε αποτελούν θύματα είτε υπόπτους.<br />
Διαχέει πληροφορία σχετική με ασφάλεια στους πελάτες του SURFnet, με μια δομημένη μορφή (π.χ.<br />
με τη διανομή security advisories), καθώς και σε περιπτώσεις που έχουν συμβεί περιστατικά (π.χ. με<br />
τη διανομή πληροφορίας σε περιπτώσεις καταστροφών). Το CERT-NL διαχέει πληροφορία που προέρχεται<br />
από το CERT-CC και το FIRST.<br />
GOVCERT.NL<br />
Αποτελεί το CERT για κυβερνητικά τμήματα (CERT-RO) και ιδρύθηκε τον Ιούνιο του 2002. Το<br />
Φεβρουάριο του 2003 μετονομάστηκε από CERT-RO σε GOVCERT.NL. Αποτελεί πεδίο ευθύνης της<br />
ICT agency (ICTU) του Ministry of the Interior and Kingdom Relations. Η ομάδα του συστεγάζεται<br />
και συνεργάζεται με το «Waarschuwingsdienst.nl». Αυτό αποτελεί έναν ιστότοπο και μιας πρωτοβουλία<br />
του Ministry of Economic Affairs/ Directorate-General for Energy and Telecom, και είναι υπεύθυνο<br />
για την έκδοση alerts και συμβουλών (alerts and advice memoranda) στο κοινό και τις ΜΜΕς,<br />
σχετικά με ιούς, Δούρειους Ίππους, και άλλο κακόβουλο λογισμικό (malware).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
53
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Hacking Emergency Response Team (HERT) και the National HighTech Crime Center (NHTCC)<br />
Ιδρύθηκε τον Ιούνιο του 2002 από την ομάδα ηλεκτρονικού εγκλήματος της Ολλανδικής Αστυνομίας<br />
(KLPD). Οι κύριες δραστηριότητές του είναι η αποκατάσταση των υπηρεσιών CI και η παροχή βοήθειας<br />
για ανάκαμψη και διαχείριση (recovery and logistics) ενώ παράλληλα συλλέγονται τα τεκμηρια.<br />
Αργότερα, έγινε μέρος του νομικού και επιχειρησιακού πλαισίου του Dutch National High Tech<br />
Crime Center.<br />
Trans-European Research and Education Networking Association (ΤΕRΕΝΑ)<br />
Ο συγκεκριμένος Οργανισμός 20 αποτελεί μια σύμπραξη από μηχανικούς δικτύων και διευθυντικά<br />
στελέχη και προσφέρει ένα τόπο δημόσιας συζήτησης (forum) που προάγει τη συνεργασία και τη διάχυση<br />
της γνώσης με σκοπό την ενίσχυση της ανάπτυξης της τεχνολογίας Διαδικτύου, καθώς και των<br />
υποδομών και των υπηρεσιών που χρησιμοποιούνται από την ερευνητική και ακαδημαϊκή/εκπαιδευτική<br />
κοινότητα.<br />
Κύρια δραστηριότητα του Οργανισμού είναι να φέρει σε επαφή διευθυντικά στελέχη, ειδικούς σε θέματα<br />
τεχνολογίας και άλλους ανθρώπους από την ερευνητική κοινότητα με συναδέλφους τους από<br />
άλλες χώρες της Ευρώπης, με σκοπό την ανταλλαγή εμπειρίας και δεξιοτήτων.<br />
Το TERENA έχει τέσσερις κύριους πυλώνες δραστηριοτήτων:<br />
• Παροχή ενός περιβάλλοντος για την ενδυνάμωση των πρωτοβουλιών στην Ευρωπαϊκή ερευνητική<br />
κοινότητα.<br />
• Υποστήριξη συντονισμένης δράσης με σκοπό την ανάπτυξη, αξιολόγηση, έλεγχο, ενσωμάτωση<br />
και προώθηση νέων τεχνολογιών σχετικών με θέματα δικτύωσης, εφαρμογών και middleware,<br />
διαμέσου του TERENA Technical Programme.<br />
• Οργάνωση συνεδρίων, ημερίδων και σεμιναρίων για την ανταλλαγή πληροφορίας στην Ευρωπαϊκή<br />
ερευνητική κοινότητα που ασχολείται με θέματα δικτύωσης, και την μεταφορά τεχνογνωσίας<br />
σε λιγότερο προχωρημένους οργανισμούς που ασχολούνται με αυτά τα θέματα.<br />
• Προώθηση των ενδιαφερόντων των μελών του, σε κυβερνήσεις, τη βιομηχανία, όργανα χρηματοδότησης<br />
και άλλους οργανισμούς.<br />
Τα κύρια όργανα του TERENA είναι: α) Γενική Συνέλευση (General Assembly-GA), β) Εκτελεστική<br />
Επιτροπή TERENA (TERENA Executive Committee-TEC), γ) Τεχνική Επιτροπή TERENA (TERE-<br />
NA Technical Committee-TEC), δ) Τεχνικό Συμβουλευτικό Όργανο TERENA (TERENA Technical<br />
Advisory Council-TAC) και ε) Γραμματεία TERENA (TERENA Secretariat).<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι που μπορούν να αναφερθούν είναι οι ακόλουθοι:<br />
• Νόμοι του 1999 σχετικά με το Ηλεκτρονικό Έγκλημα (Computer Crime Laws 1999).<br />
• Νόμος για τις Τηλεπικοινωνίες (Telecommunications Law).<br />
• Ποινικός Κώδικας (Criminal Code).<br />
3.3.2.5 Σουηδία<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-04a], η συγκεκριμένη χώρα δεν έχει ξεκάθαρους και επίσημους ορισμούς<br />
σχετικά με το τι σημαίνει CII και CICIP. Παρόλα αυτά, υπάρχει ξεκάθαρος ορισμός σχετικά<br />
με το τι σημαίνει «Τελική ευθύνη (Ultimate Responsibility)».<br />
Η προσέγγιση που ακολουθείται είναι η «Total Defense», που σημαίνει ότι η προστασία των κρίσιμων<br />
υποδομών ενσωματώνεται στη γενική πολυπλοκότητα της εθνικής άμυνας της χώρας, αποτε-<br />
20 http://www.terena.org.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
54
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
λώντας συνδυασμό των: α) Διασφάλιση Πληροφοριών (<strong>Information</strong> assurance), β) Προστασία κρίσιμων<br />
υποδομών (Critical infrastructure protection), γ) Αμυντικές λειτουργίες πληροφορίας (Defensive<br />
information operations) και δ) Αμυντικός πόλεμος πληροφοριών (Defensive information warfare).<br />
Ο ιδιωτικός τομέας λαμβάνεται υπόψη και ενσωματώνεται στην οργανωτική δομή, σε ικανοποιητικό<br />
επίπεδο. Παρόλα αυτά, τα μέτρα σχετικά με CIP λαμβάνονται χωρίς ιδιαίτερο συντονισμό, εφόσον<br />
δεν υπάρχει σχετικός συντονιστικός φορέας. Αποφεύγεται η επικάλυψη δομών ενώ το μοντέλο πρόσβασης<br />
σε πληροφορίες είναι διαφανές.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Τον Ιούνιο του 1999 η Επιτροπή Ευπαθειών και Ασφάλειας (Commission on Vulnerability και <strong>Security</strong>)<br />
πρότεινε ορισμένα στρατηγικά μέτρα για τη βελτίωση της γενικής σταθερότητας των κρίσιμων τεχνικών<br />
υποδομών. Η ίδια Επιτροπή πρότεινε μέτρα ειδικά σχεδιασμένα για τη βελτίωση της διασφάλισης<br />
των πληροφοριών και της προστασίας λειτουργιών που σχετίζονται με τη διαχείριση πληροφοριών.<br />
Πρότεινε την ανάληψη ευθύνης από την κυβέρνηση αλλά και από τους διαχειριστές και τους ι-<br />
διοκτήτες των συστημάτων, οι οποίοι οφείλουν να προστατεύουν τα συστήματά τους ενάντια σε εισβολές<br />
και άλλους τύπους από απειλές σχετικές με ΙΤ.<br />
Σύμφωνα με τις προτάσεις της ίδιας Επιτροπής, ο ρόλος της κυβέρνησης είναι η υποστήριξη των παραπάνω<br />
δραστηριοτήτων και η παροχή λειτουργιών και διευκολύνσεων που ξεπερνούν τις οικονομικές<br />
δυνατότητες άλλων τομέων της κοινωνίας.<br />
Το Μάρτιο του 2002 δημιουργήθηκε «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφάλεια και την<br />
πολιτική ετοιμότητας» («Bill on Swedish <strong>Security</strong> και Preparedness Policy»). Σε αυτό παρουσιάστηκε<br />
το κυβερνητικό πλαίσιο για ένα νέο σύστημα σχεδιασμού που θα βοηθούσε στην προετοιμασία για<br />
την αντιμετώπιση μεγάλων κοινωνικών κρίσεων και την ανάληψη δραστηριοτήτων σχετικών με πιθανή<br />
απειλή ή πόλεμο. Επίσης, παρουσιάστηκαν τρόποι σχετικά με το πώς μπορεί να ενδυναμωθεί<br />
μια δομή διαχείρισης κρίσεων.<br />
Τον Ιούλιο του 2002 συστήθηκε η Επιτροπή Διασφάλισης Πληροφοριών στη Σουηδική Κοινωνία<br />
(Committee on <strong>Information</strong> Assurance in Swedish Society). Από την Επιτροπή αυτή ζητήθηκε να παρουσιάσει<br />
μια εκτίμηση σχετικά με τις απαιτήσεις για την ασφάλεια πληροφοριών σε κρίσιμους τομείς<br />
της κοινωνίας και να κάνει συγκεκριμένες προτάσεις σχετικά με:<br />
• Οργανωσιακά θέματα της Σουηδικής υπηρεσίας προστασίας σημάτων.<br />
• Την ανάπτυξη μιας εθνικής στρατηγικής σχετικά με τη διασφάλιση πληροφοριών.<br />
• Τον τύπο και την εστίαση της μελλοντικής Σουηδικής εμπλοκής σε διεθνείς συνεργασίες σχετικές<br />
με τη διασφάλιση πληροφοριών.<br />
• Την υλοποίηση των «Κατευθυντήριων γραμμών του ΟΟΣΑ σχετικά με την ασφάλεια των Δικτύων<br />
και των ΠΣ» («OECD Guidelines for the <strong>Security</strong> of <strong>Information</strong> Systems and Networks»).<br />
• Την παρακολούθηση της υλοποίησης μέτρων για τη διασφάλιση πληροφοριών μεταξύ υπηρεσιών<br />
του κράτους σύμφωνα με τα οριζόμενα στο «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφάλεια<br />
και την πολιτική ετοιμότητας».<br />
Σαν αποτέλεσμα των εργασιών της, η Επιτροπή παρουσίασε στην κυβέρνηση ένα οργανωτικό πλάνο<br />
καθώς και ένα εθνικό πλάνο σχετικά με τη διασφάλιση πληροφοριών.<br />
Οργανωτικές δομές<br />
Σουηδικό Υπουργείο Άμυνας (Swedish Ministry of Defense)<br />
Στη Σουηδία, το αρμόδιο Υπουργείο Άμυνας (Ministry of Defense – MoD) διαδραματίζει πρωταγωνιστικό<br />
ρόλο σχετικά με την ασφάλεια και την προστασία κρίσιμων υποδομών.<br />
Οι σημαντικότερες Υπηρεσίες του Υπουργείου, στο συγκεκριμένο τομέα, είναι οι ακόλουθες:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
55
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
MoD/Swedish Emergency Management Agency (SEMA)<br />
Η συγκεκριμένη υπηρεσία είναι υπεύθυνη για το συντονισμό των ενεργειών που αφορούν την εθνική<br />
διασφάλιση πληροφοριών, σε επίπεδο πολιτικής. Προωθεί την αλληλεπίδραση ιδιωτικού και δημόσιου<br />
τομέα και συντονίζει τις ενέργειες έρευνας και ανάπτυξης στην περιοχή της διαχείρισης επειγουσών<br />
καταστάσεων. Έχει τη συνολική κυβερνητική ευθύνη για θέματα διασφάλισης πληροφοριών<br />
στη Σουηδία.<br />
Όλα τα θέματα τα χειρίζεται το <strong>Information</strong> Assurance και Analysis Department του SEMA που αναπτύσσει<br />
τις ακόλουθες δραστηριότητες:<br />
• Διατηρεί την επικαιροποιημένη συνολική εικόνα της Σουηδικής κοινωνίας αναφορικά με την α-<br />
σφάλεια πληροφοριών, αναφορικά με απειλές, ευστάθειες, προστατευτικά μέτρα και κινδύνους.<br />
• Παρουσιάζει, σε ετήσια βάση, μια εκτίμηση της διασφάλισης πληροφοριών στη Σουηδική κυβέρνηση.<br />
• Φιλοξενεί διάφορους τόπους συζητήσεων (fora), με συμμετοχή τόσο του ιδιωτικού όσο και του<br />
δημόσιου τομέα, προκειμένου να αναπτυχθεί μια συνολική εθνική κουλτούρα σε θέματα διασφάλισης<br />
πληροφοριών.<br />
• Αναπτύσσει συνεργασίες ιδιωτικού και δημόσιου τομέα.<br />
• Συγκεντρώνει, αναλύει και διαχέει πληροφορία αναφορικά με τη διασφάλιση πληροφοριών.<br />
• Αναπτύσσει συστάσεις σχετικά με την πρόληψη, σε θέματα ασφάλειας πληροφοριών, με χρήση<br />
του ISO/IEC 17799.<br />
• Διαχειρίζεται το Συμβούλιο Διασφάλισης Πληροφοριών (Board of <strong>Information</strong> Assurance).<br />
Στο SEMA λειτουργεί το Συμβούλιο Διασφάλισης Πληροφοριών (<strong>Information</strong> Assurance Council),<br />
που ιδρύθηκε με σκοπό να υποστηρίξει τις δραστηριότητές του σε θέματα διασφάλισης πληροφοριών.<br />
Το συγκεκριμένο Συμβούλιο βοηθά την ανώτερη διοίκηση του SEMA παρέχοντας πληροφόρηση<br />
σχετικά με τις ερευνητικές και τεχνολογικές τάσεις σε θέματα διασφάλισης πληροφοριών και υποδεικνύοντας<br />
σχετικές προτάσεις και απόψεις σχετικά με τις κατευθύνσεις, τις προτεραιότητες και την υ-<br />
λοποίηση συγκεκριμένων δράσεων.<br />
MoD/Swedish Defense Materiel Administration (FMV)<br />
Αποτελεί την Υπηρεσία Προμηθειών (procurement agency) του Υπουργείου Άμυνας της Σουηδίας και<br />
ασχολείται με θέματα αξιολογήσεων σε θέματα ΙΤ security, για τις ένοπλες δυνάμεις, από το 1989.<br />
MoD/FMV/Certification Body for IT <strong>Security</strong> (CSEC)<br />
Ιδρύθηκε, ως ανεξάρτητη οντότητα μέσα στο FMV, το καλοκαίρι του 2002 με κύριο έργο την αξιολόγηση<br />
και πιστοποίησης προϊόντων IT security (IT security products certification και evaluation), που<br />
πρόκειται να χρησιμοποιηθούν από Σουηδικούς κυβερνητικούς οργανισμούς.<br />
MoD/National Defense Radio Establishment (FRA)<br />
Πρόκειται για τον οργανισμό που ασχολείται με τις πληροφορίες τις σχετικές με τα σήματα (signals<br />
intelligence) και σύντομα θα μετονομαστεί σε Institute for Signals Intelligence and Technical <strong>Information</strong><br />
(IST).<br />
O συγκεκριμένος Οργανισμός διαθέτει την Ομάδα Τεχνικής Υποστήριξης σε θέματα Ασφάλειας (<strong>Information</strong><br />
<strong>Security</strong> Technical Support Team). Αυτή αποτελείται από 20 ειδικούς στο πεδίο της Ασφάλειας<br />
ΙΤ, με κύριο σκοπό την παροχή υποστήριξης σε θέματα διαχείρισης εθνικών κρίσεων και την α-<br />
ναγνώριση ατόμων και οργανισμών που σχετίζονται με απειλές ΙΤ κατά κρίσιμων συστημάτων. Σε<br />
περίπτωση που υπάρξει σχετικό αίτημα, η ομάδα υποστηρίζει τις Σουηδικές αρχές, υπηρεσίες και δημόσιες<br />
επιχειρήσεις που είναι υπεύθυνες για κρίσιμες λειτουργίες της κοινωνίας, με παροχή σχετικών<br />
υπηρεσιών και εξειδίκευσης. Οι παρεχόμενες υπηρεσίες περιλαμβάνουν, μεταξύ άλλων: α) ελέγχους<br />
(audits), β) ελέγχους διείσδυσης (penetration tests) και γ) ανάλυση πηγαίου κώδικα για την εξέταση<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
56
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πειστηρίων στο πλαίσιο έρευνας. Η ομάδα συνεργάζεται σε τακτική βάση με την εθνική και διεθνή<br />
κοινότητα που ασχολείται με θέματα ασφάλειας.<br />
Swedish Armed Forces<br />
Έχουν αναπτυχθεί βάσει του μοντέλου «network-based defense». Εμπλέκονται ενεργά σε θέματα α-<br />
σφάλειας ΙΤ και πληροφοριακών υποδομών.<br />
Swedish Military Intelligence and <strong>Security</strong> Service<br />
Η συγκεκριμένη Υπηρεσία χειρίζεται θέματα ασφάλειας IT στις Ένοπλες Δυνάμεις, σε καιρό ειρήνης.<br />
National Communications <strong>Security</strong> Group (TSA)<br />
Παρέχει συμβουλές και επιθεωρήσεις κρυπτογραφικών συστημάτων σε Σουηδικούς αμυντικούς οργανισμούς<br />
και βιομηχανίες.<br />
Center for Asymmetric Threat Studies (CATS)<br />
Παλιότερα ήταν γνωστό ως National Center for IO/CIP Studies (CIOS) και στεγάζεται στο Swedish<br />
National Defense College. Επέκτεινε τις δραστηριότητές του ώστε να συμπεριλάβει στις Λειτουργίες<br />
Πληροφοριών (<strong>Information</strong> Operations - IO) και την έννοια της τρομοκρατίας π.χ. κυβερνοτρομοκρατία.<br />
Διεξάγει έρευνα και ανάπτυξη πολιτικών στους τομείς CIP/CICIP, IO, PSYOPS (ψυχολογικός<br />
πόλεμος). Χρηματοδοτείται από το ΜοD και το SEMA.<br />
Swedish Defense Research Agency (FOI)<br />
Εστιάζει σε θέματα έρευνας και τεχνολογικής ανάπτυξης στους τομείς εφαρμοσμένων φυσικών και<br />
πολιτικών επιστημών, όπως ανάλυση πολιτικών ασφάλειας. Η Διεύθυνση Αμυντικής Ανάλυσης (Division<br />
of Defense Analysis) περιλαμβάνει την ερευνητική ομάδα Critical Infrastructure Studies Unit<br />
(<strong>CIS</strong>U) που εκπονεί μακροχρόνια ερευνητικά προγράμματα σχετικά με CIP, που χρηματοδοτούνται<br />
από το SEMA.<br />
Σουηδικό Υπουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών (Swedish Ministry of Industry,<br />
Employment, and Communications)<br />
Ένα άλλο Υπουργείο που διαδραματίζει σημαντικό ρόλο σε θέματα CICIP είναι και το Σουηδικό Υ-<br />
πουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών. Οι σημαντικότεροι φορείς του είναι οι ακόλουθοι:<br />
Swedish National Post and Telecom Agency (PTS)<br />
Αποτελεί κυβερνητική αρχή που παρακολουθεί όλα τα θέματα που σχετίζονται με ΤΠΕ και υπηρεσίες<br />
ταχυδρομείων. Το Τμήμα Ασφάλειας Δικτύων (Department of Network <strong>Security</strong>) της συγκεκριμενης<br />
αρχής είναι υπεύθυνο για θέματα ασφάλειας σχετικά με ΤΠΕ και σχετίζεται με το Swedish IT Incident<br />
Center.<br />
Σουηδικό Υπουργείο Δικαιοσύνης (Swedish Department of Justice)<br />
Το Σουηδικό Υπουργείο Δικαιοσύνης έχει ρόλο σε θέματα CICIP, μέσω των παρακάτω φορέων του:<br />
Swedish National Police Board (NPB)<br />
Αποτελεί την κεντρική διοικητική και επιβλέπουσα αρχή της Αστυνομίας. Διοικεί τη National Criminal<br />
Police και την Swedish <strong>Security</strong> Service. Το IT Crime Squad της Αρχής αυτής διαθέτει εμπειρία<br />
σε έρευνες εγκλημάτων και παρέχει σχετική υποστήριξη στα τοπικά Σουηδικά Αστυνομικά Τμήματα.<br />
Σχετίζεται με το Internet Reconnaissance Unit.<br />
Τέλος, η Swedish <strong>Security</strong> Service (SÄPO) έχει το θεμελιώδες καθήκον της πρόληψης και της ανίχνευσης<br />
εγκλημάτων που σχετίζονται με την ασφάλεια.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
57
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Συνεργασίες Ιδιωτικού – Δημόσιου Τομέα (PPP)<br />
Στη Σουηδία έχουν δημιουργηθεί οι εξής συνεργασίες ιδιωτικού-δημόσιου τομέα:<br />
Swedish Emergency Management Agency (SEMA)<br />
Η συγκεκριμένη υπηρεσία προάγει την αλληλεπίδραση μεταξύ δημόσιου και ιδιωτικού τομέα και εργάζεται<br />
με σκοπό να διασφαλίσει ότι η εμπειρία των Μη Κυβερνητικών Οργανισμών (MKO) λαμβάνεται<br />
υπόψη στη διαχείριση κρίσεων.<br />
Υπάρχουν δύο συμβουλευτικά όργανα (advisory councils) που συνδέονται με το SEMA: το Private<br />
Sector Partnership Advisory Council και το Board of <strong>Information</strong> Assurance.<br />
Industry <strong>Security</strong> Delegation (NSD)<br />
Αποτελεί μέρος της Συνομοσπονδίας των Σουηδικών Επιχειρήσεων (Confederation of Swedish Enterprise).<br />
Έχει ως αντικειμενικό στόχο την αύξηση της συνεργασίας μεταξύ επιχειρήσεων, οργανισμών<br />
και αρχών και την προώθηση αναλυτικών απόψεων σχετικά με θέματα ασφάλειας και ευπαθειών.<br />
Η κύρια επιδίωξη της συγκεκριμένης δικτυακής δομής είναι η βελτίωση της ευαισθητοποίησης (awareness)<br />
σε θέματα ασφάλειας και κινδύνων τόσο του γενικού κοινού όσο και του τομέα των επιχειρήσεων.<br />
Ο συγκεκριμένος οργανισμός προωθεί εκπαιδευτικά σεμινάρια σε θέματα διασφάλισης πληροφοριών<br />
(information assurance) καθώς και σε θέματα διαχείρισης κρίσεων και κινδύνων (crisis και<br />
risk management) ώστε να βοηθήσει τα μέλη του να συνεισφέρουν στη βελτίωση της ασφάλειας.<br />
Swedish <strong>Information</strong> Processing Society (DFS)<br />
Αποτελεί ανεξάρτητο οργανισμό για επαγγελματίες ΙΤ και αριθμεί 32000 μέλη. Εστιάζεται σε θέματα<br />
ανάλυσης κινδύνων και ασφάλειας πληροφοριών και θεωρείται de-facto Σουηδικό πρότυπο.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Από το Μάιο του 2002 η αντίστοιχη Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)<br />
της Σουηδίας (Swedish National Post and Telecom Agency - PTS) έχει δημιουργήσει το Swedish IT<br />
Incident Centre (SITIC) που, ουσιαστικά, μπορεί να θεωρηθεί το CERT της Σουηδικής κυβέρνησης.<br />
Το κέντρο αυτό υποστηρίζει εθνικές δραστηριότητες για την προστασία ενάντια σε περιστατικά ΙΤ,<br />
που συνοψίζονται: α) Στη λειτουργία ενός συστήματος για την ανταλλαγή πληροφοριών σχετικά με<br />
περιστατικά ΙΤ, β) Σστην πληροφόρηση του κοινού σχετικά με προβλήματα που μπορεί να δημιουργήσουν<br />
δυσλειτουργία στα συστήματα ΙΤ και γ) στην Παροχή πληροφόρησης σχετικά με μέτρα απότροπής<br />
(preventive measures).<br />
Δημοσίευση στατιστικών στοιχείων σχετικά με τα περιστατικά.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Κυριότεροι σημαντικοί νόμοι είναι οι ακόλουθοι:<br />
• Σουηδικός Ποινικός Κώδικας (Swedish Penal Code), SFS 1962:700.<br />
• Νομοθετική Πράξη σχετικά με τα Προσωπικά Δεδομένα (Personal Data Act), SFS 1998:204.<br />
• Νομοθετική Πράξη σχετικά με τις Ηλεκτρονικές Επικοινωνίες (Electronic Communications Act)<br />
SFS 2003:389.<br />
3.3.3 Χώρες εκτός Ευρώπης<br />
Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθούνται<br />
από συγκεκριμένες χώρες εκτός Ευρώπης που είναι περισσότερο ώριμες, σε σχέση με άλλες,<br />
αναφορικά με την προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών τους.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
58
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3.3.3.1 Ηνωμένες Πολιτείες Αμερικής<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-04a], η προστασία των κρίσιμων υποδομών αποτελεί ύψιστη προτεραιότητα,<br />
μετά τα γεγονότα της 11 ης Σεπτεμβρίου 2001. Το σύστημα πρόσβασης σε πληροφορίες είναι<br />
διαφανές ενώ η συνεργασία με τον ιδιωτικό τομέα δουλεύει πολύ καλά, καθώς υπάρχουν ισχυροί<br />
σύνδεσμοι μεταξύ της επιχειρηματικής κοινότητας του ιδιωτικού τομέα και διαφόρων κυβερνητικών<br />
οργανισμών. Υπάρχουν ξεκάθαροι ορισμοί σχετικά με το τί σημαίνουν κρίσιμοι τομείς και CIP, ενώ<br />
το θέμα CICIP ενσωματώνεται μέσα στις γενικότερες αντιτρομοκρατικές προσπάθειες, όπου η κοινότητα<br />
που ασχολείται με την ανάλυση πληροφοριών (intelligence) διαδραματίζει σημαντικό ρόλο.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Η Πρώτη εθνική προσπάθεια να οριστούν οι ευπάθειες της «εποχής της πληροφορίας» έγινε από τον<br />
Πρόεδρο Bill Clinton το 1996 με την «Presidential Commission on Critical Infrastructure Protection<br />
(PCCIP)». Η Επιτροπή περιελάμβανε αντιπροσώπους από όλα τα σχετικά κυβερνητικά τμήματα καθώς<br />
και από τον ιδιωτικό τομέα και τα αποτελέσματα της παρουσιάστηκαν σε αναφορά προς τον<br />
Πρόεδρο τον Οκτώβριο του 1997. Η κυριότερη απόφαση που ελήφθηκε ήταν η καλλιέργεια της συνεργασίας<br />
ιδιωτικού τομέα και κυβέρνησης. Δεν υφίσταται πια σαν Επιτροπή, καθώς οι λειτουργίες<br />
της ανακατευθύνθηκαν στην HSPD-7 (περιγράφεται αναλυτικά παρακάτω).<br />
Το Μάιο του 1998, βάσει των υποδείξεων της PCCIP, εκδόθηκαν οι «Presidential Decision Directives<br />
(PDD) 62 and 63». Καθόρισαν όργανα για τη χάραξη και επίβλεψη της πολιτικής, χρησιμοποιώντας<br />
υπάρχουσες κυβερνητικές υπηρεσίες και αρχές.<br />
Με την PDD 63 δημιουργήθηκαν ομάδες, στο πλαίσιο της ομοσπονδιακής κυβέρνησης, με σκοπό την<br />
ανάπτυξη και την υλοποίηση πλάνων για την προστασία των υποδομών που χρησιμοποιούνται από<br />
την κυβέρνηση. Στο πλαίσιο αυτά, προκλήθηκε διάλογος μεταξύ κυβέρνησης και ιδιωτικού τομέα για<br />
την ανάπτυξη ενός “National Infrastructure Assurance Plan”.<br />
Το «National Plan for <strong>Information</strong> Systems Protection» παρουσιάστηκε στις 07 Ιανουαρίου 2000 από<br />
τον Πρόεδρο Clinton και εστίασε στην ασφάλεια των cyber-components των κρίσιμων υποδομών,<br />
αλλά όχι των physical components. Ονομάστηκε «Defending America’s Cyberspace. National Plan<br />
for <strong>Information</strong> Systems Protection - An Invitation to Dialogue Version 1.0» [USA-00] και ενδυνάμωσε<br />
την αντίληψη ότι η κυβερνο-ασφάλεια αποτελεί κοινή αρμοδιότητα κυβέρνησης και ιδιωτικού<br />
τομέα.<br />
Το Σεπτέμβριο του 2001 υπογράφηκαν από τον Πρόεδρο Bush, μετά τα γεγονότα της 11ης Σεπτεμβρίου,<br />
οι «Homeland <strong>Security</strong> Executive Orders (ΕΟ)». Πρόκειται για την ΕΟ 13228 – «Establishing<br />
the Office of Homeland <strong>Security</strong> and the Homeland <strong>Security</strong> Council» (08/10/2001) και την ΕΟ<br />
13231 – «Critical Infrastructure Protection in the <strong>Information</strong> Age» με την οποία ιδρύθηκαν το «President’s<br />
Critical Infrastructure Protection Board» και το «National Infrastructure Advisory Council<br />
(NIAC)».<br />
Στις 17 Δεκεμβρίου 2003 εκδόθηκε η «Homeland <strong>Security</strong> Presidential Directive/HSPD-7» που αντικατέστησε<br />
την PDD 63. Η HSPD-7 καθιέρωσε εθνική πολιτική για τις ομοσπονδιακές υπηρεσίες με<br />
σκοπό να προσδιορίσουν και να θέσουν προτεραιότητες για την προστασία των κρίσιμων υποδομών<br />
των ΗΠΑ. Προσδιόρισε τις κυβερνητικές Yπηρεσίες που είναι υπεύθυνες για το συντονισμό της προστασίας<br />
συγκεκριμένων κρίσιμων τομέων υποδομών και καθόρισε τις Yπηρεσίες που θα πρέπει να ε-<br />
πιδιώξουν τη συνεργασία με τον ιδιωτικό τομέα.<br />
Επίσης, απαίτησε, μέχρι τον Ιούλιο του 2004, την εκπόνηση συγκεκριμένων πλάνων, από τους επικεφαλείς<br />
όλων των ομοσπονδιακών υπηρεσιών, για την προστασία των κρίσιμων υποδομών και καθόρισε<br />
τη Secretary of Homeland <strong>Security</strong> (Department of Homeland <strong>Security</strong>, DHS) ως «…The principal<br />
Federal official to lead, integrate, and coordinate implementation of efforts among Federal departments<br />
and agencies, State and local governments, and the private sector to protect critical infrastructure<br />
and key resources…».<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
59
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Τον Ιούλιο του 2002 εκδόθηκε η «National Strategy for Homeland <strong>Security</strong>» [HSC-07, USA-07], με<br />
σκοπό την προστασία της ενδοχώρας (US Homeland) από τρομοκρατικές επιθέσεις.<br />
Στις 14 Δεκεμβρίου 2003 εκδόθηκαν δύο Εθνικές Στρατηγικές:<br />
• National Strategy to Secure Cyberspace (NSSC): Με κύριο στόχο να διαμορφωθούν εθνικές πολιτικές<br />
που θα εμπλέξουν τους πολίτες σε θέματα ασφάλειας του μέρους του κυβερνοχώρου που<br />
τους ανήκει, με το οποίο αλληλεπιδρούν, και το οποίο ελέγχουν και λειτουργούν.<br />
• National Strategy for Physical Protection of Critical Infrastructure and Key Assets [USA-03c]:<br />
Με κύριο στόχο τη μείωση των ευπαθειών του έθνους που σχετίζονται με τρομοκρατικές δράσεις,<br />
μέσω της μείωσης των ευπαθειών που αφορούν τις κρίσιμες υποδομές και των ευπαθειών των<br />
σημαντικών αγαθών, που σχετίζονται με φυσικές επιθέσεις.<br />
Τέλος, το «National Infrastructure Protection Plan (NIPP)», που αναπτύχθηκε από το DHS, αντιπροσωπεύει<br />
την κατάσταση ετοιμότητας (“ready state” preparedness) των ιδιοκτητών και διαχειριστών<br />
των κρίσιμων υποδομών.<br />
Οργανωτικές δομές<br />
Παλαιότερα, δύο Υπηρεσίες είχαν την κύρια αρμοδιότητα για το συντονισμό της πολιτικής CIP των<br />
ΗΠΑ, το «Critical Infrastructure Assurance Office (CIAO)», που παλιά αποτελούσε μέρος του Υ-<br />
πουργείου Εμπορίου, και το «National Infrastructure Protection Center (NIPC)», που παλιά απότελούσε<br />
Διεύθυνση του Federal Bureau of Investigation (FBI). Βάσει των προηγούμενων κατευθυντήριων<br />
γραμμών, που περιγράφησαν στην προηγούμενη ενότητα, και της δημιουργίας του DHS, οι<br />
δραστηριότητες τους απορροφήθηκαν από αυτό.<br />
Το Critical Infrastructure Assurance Office (CIAO), δημιουργήθηκε τον Μάιο του 1998 και αποτελεί<br />
μερος του Directorate for <strong>Information</strong> Analysis and Infrastructure Protection (IAIP) του DHS. Οι αρμοδιότητές<br />
του εκχωρήθηκαν στο Planning and Partnership Office (PPO) του IAIP. Οι κύριες δραστηριότητες<br />
του περιλαμβάνουν:<br />
• Συντονισμό και υλοποίηση της εθνικής στρατηγικής.<br />
• Εκτίμηση της έκθεσης σε κίνδυνο της κυβέρνησης καθώς και των εξαρτήσεων σε CI.<br />
• Ευαισθητοποίηση του κοινού και συμμετοχή σε προσπάθειες σχετικά με CIP.<br />
• Συντονισμών τόσο σε επίπεδο νομοθεσίας όσο και σε επίπεδο δημόσιων υποθέσεων ώστε να ενσωματωθούν<br />
οι στόχοι της διασφάλισης πληροφοριών στις προσπάθειες τόσο του ιδιωτικού όσο<br />
και του δημόσιου τομέα.<br />
To 1998 το Office of Computer Investigation and Infrastructure Protection (OCICIP) επεκτάθηκε και<br />
αποτέλεσε το National Infrastructure Protection Center (NIPC), με έδρα το FBI. Αυτή τη στιγμή και<br />
αυτό αποτελεί κομμάτι του IAIP του DHS.<br />
Η ανάγκη για τη δημιουργία του «Department of Homeland <strong>Security</strong> (DHS)» 21 έγινε επιτακτική η<br />
ανάγκη για τη δημιουργία του μετά τα γεγονότα της 11 ης Σεπτεμβρίου 2001. Αποτελεί τη μεγαλύτερη<br />
ομοσπονδιακή αναδιοργάνωση μετά το 1947, που συνένωσε 22 υπάρχουσες ομοσπονδιακές Υπηρεσίες.<br />
Οι ρόλοι του DHS, αναφορικά με την προστασία των κρίσιμων πληροφοριακών υποδομών, συνοψίζονται<br />
στα ακόλουθα:<br />
• Ανάπτυξη ενός περιεκτικού εθνικού πλάνου για την προστασία των σημαντικών πόρων και κρίσιμων<br />
υποδομών των ΗΠΑ.<br />
• Παροχή δυνατότητας διαχείρισης κρίσεων σε περιπτώσεις επιθέσεων σε κρίσιμα πληροφοριακά<br />
συστήματα.<br />
• Παροχή τεχνικής υποστήριξης και πλάνων ανάκαμψης από καταστροφές, τόσο στον ιδιωτικό τομέα<br />
όσο και σε άλλες κυβερνητικές υπηρεσίες.<br />
21 http://www.dhs.gov.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
60
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Συντονισμός με άλλες κυβερνητικές υπηρεσίες, για την παροχή συγκεκριμένης προειδοποιητικής<br />
πληροφόρησης και προστατευτικών μέτρων, καθώς και για τη χρηματοδότηση έρευνας και αναπτυξης.<br />
• Προώθηση πληροφοριών σχετικά με κυβερνοασφάλεια στον ιδιωτικό τομέα.<br />
Το DHS διαιρείται σε πέντε Διευθύνσεις (Directorates): α) Border και Transportation <strong>Security</strong>, β) E-<br />
mergency Preparedness and Response, γ) Science and Technology, δ) <strong>Information</strong> Analysis and Infrastructure<br />
Protection (IAIP) και ε) Management. Επιπρόσθετα, σε αυτό ενσωματώθηκαν, σταδιακά,<br />
και άλλες Υπηρεσίες, όπως: α) US Coast Guard, β) US Secret Service, γ) Bureau of Citizenship και<br />
δ) Immigration Services. Μια σημαντική αναδιοργάνωση του DHS έλαβε χώρα το 2005, οπότε δημιουργήθηκε<br />
μια νέα Διεύθυνση Ετοιμότητας (Preparedness Directorate) και μια νέα Γραμματεία με<br />
την ονομασία Assistant Secretary for Cyber-security and Telecommunications.<br />
Το Directorate for <strong>Information</strong> Analysis and Infrastructure Protection (IAIP) του DHS είναι υπεύθυνο<br />
για τον προσδιορισμό και την εκτίμηση των τωρινών και μελλοντικών απειλών και ευπαθειών της<br />
χώρας, την έγκαιρη προειδοποίηση και την ανάληψη προληπτικής δράσης. Ανέλαβε τις αρμοδιότητες<br />
των προγενέστερων Υπηρεσιών CIAO και NIPC, καθώς και του Federal Computer Incident Response<br />
Center (FedCIRC). Επίσης, συμπεριέλαβε και τις λειτουργίες τόσο του National Communication<br />
Systems (Department of Defense), δεδομένου ότι οι CIs εξαρτώνται άμεσα από πληροφοριακές και<br />
τηλεπικοινωνιακές υποδομές και από τις αλληλοεξαρτήσεις τους, όσο και μερικές αρμοδιότητες του<br />
Energy <strong>Security</strong> and Assurance Program (Department of Energy).<br />
Το IAIP αποτελείται από τέσσερις διευθύνσεις: α) Infrastructure Coordination Division (ICD), β) National<br />
Cyber <strong>Security</strong> Division (NCSD), γ) Protective Services Division (PSD) και δ) Νational<br />
Communications System Division (NCS).<br />
Άλλο σημαντικό όργανο των ΗΠΑ, σχετικά με θέματα CICIP είναι το Homeland <strong>Security</strong> Council,<br />
που αποτελεί εκτελεστική οντότητα, επιφορτισμένη με την παροχή συμβουλών στον Πρόεδρο σχετικά<br />
με θέματα ασφάλειας της ενδοχώρας (homeland security matters). Αποτελείται από μια Προϊσταμένη<br />
Επιτροπή (Principals Committee) και από Συντονιστικές Επιτροπές (Coordination Committees),<br />
μια εκ των οποίων εστιάζει σε θέματα CI.<br />
Οι αντιπρόσωποι της Προϊστάμενης Επιτροπής είναι οι ακόλουθοι: α) Secretary of homeland security,<br />
β) Secretary of the treasury, γ) Secretary of defense, δ) Attorney-general, ε) Secretary of health and<br />
human services, στ) Secretary of transportation, ζ) Budget director for central intelligence, η) FBI director,<br />
θ) Federal Emergency Management Agency (FEMA) director ι) Chief of staff to the president<br />
και κ) Chief of staff to the vice-president.<br />
Το US Department of State συντονίζει διεθνή θέματα σχετικά με CICIP και συνεργάζεται με άλλες<br />
Υπηρεσίες, όπως Departments of Homeland <strong>Security</strong>, Justice, Defense, Commerce, Energy, Treasury,<br />
and Transportation, Intelligence community, για τη χάραξη της καθολικής στρατηγικής. Το συγκεκριμένο<br />
Υπουργείο προεδρεύει στo International CIP Interagency Working Group όπου έχει συντονιστικό<br />
ρόλο και εποπτεύει την υλοποίηση των εκάστοτε συμφωνιών.<br />
Το Computer Crime and Intellectual Property Section (CCIPS) αποτελεί μέρος του Criminal Division<br />
του Department of Justice. Είναι υπεύθυνο για την υλοποίηση των εθνικών στρατηγικών του Υπουργείου<br />
για την αντιμετώπιση εγκλημάτων που σχετίζονται με τους υπολογιστές και τα πνευματικά δικαιώματα,<br />
σε παγκόσμια κλίμακα.<br />
Το Government Accountability Office (GAO) αποτελεί τον ανακριτικό/ερευνητικό βραχίονα (investigative<br />
arm) του Κογκρέσου.<br />
Το National Science Foundation (NSF) 22 [Rah-05] χρηματοδοτεί ακαδημαϊκά ινστιτούτα για την υποστηριξη<br />
του ομοσπονδιακού ερευνητικού προγράμματος σχετικά με την κυβερνοασφάλεια των πολιτών.<br />
22 http://www.nsf.gov.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
61
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Το National Institute of Standards και Technology (NIST) 23 [Rah-05] έχει ως κύρια αποστολή τη αναπτυξη<br />
μετρήσεων και δραστηριοτήτων σχετικά με πρότυπα που διαδραματίζουν ρόλο-κλειδί στη διευκόλυνση<br />
της μεταφοράς τεχνογνωσίας. Οι δραστηριότητές του στον τομέα της Ασφάλειας Η/Υ περιλαμβάνουν<br />
την ανάπτυξη κρυπτογραφικών προτύπων, την ηλεκτρονική αυθεντικοποίηση και την ε-<br />
νασχόληση με αναδυόμενες τεχνολογίες.<br />
Συμπράξεις Δημόσιου-Ιδιωτικού Τομέα (PPP)<br />
Οι κυριότερες συμπράξεις ιδιωτικού-δημόσιου τομέα που έχουν αναπτυχθεί στις ΗΠΑ είναι οι ακόλουθες:<br />
DHS/Office of the Private Sector<br />
Παρέχει στις επιχειρήσεις μια απευθείας γραμμή στο Υπουργείο.<br />
<strong>Information</strong> Sharing and Analysis Centers (ISACs)<br />
Αποτελούν οργανισμούς με μέλη που η διαχείρισή τους γίνεται από τον ιδιωτικό τομέα.<br />
Ένα Συμβούλιο Διευθυντών (Board of Directors) καθορίζει τις διαδικασίες σύστασης και λειτουργίας<br />
του. Οι κύριες λειτουργίες του είναι η συλλογή, ανάλυση και διάχυση πληροφοριών σχετικά με την<br />
ασφάλεια, τα περιστατικά και την απόκριση μεταξύ των μελών των ISAC καθώς και με άλλα ISAC.<br />
Επίσης, διευκολύνει την ανταλλαγή πληροφορίας μεταξύ της κυβέρνησης και του ιδιωτικού τομέα.<br />
Υπάρχουσες ISAC 24 είναι οι ακόλουθες:<br />
• Financial Services <strong>Information</strong> Sharing and Analysis Center (FS/ISAC)<br />
• Telecoms industry ISAC via National Coordinating Center (NCC)<br />
• Electric power sector ISAC via North American Electricity Reliability Council (NERC)<br />
• IT-ISAC, with Members Microsoft, <strong>CIS</strong>CO, Intel, CA, Oracle, Symantec, etc.<br />
• Surface Transportation ISAC, Oil Gas ISAC, Water Supply ISAC, Chemicals Industry ISAC, E-<br />
mergency Fire Services ISAC, Emergency Law Enforcement ISAC, Food ISAC, Health ISAC,<br />
Multi-State ISAC<br />
• ISAC Council<br />
InfraGard 25<br />
Αποτελεί συνεταιρισμό μεταξύ της βιομηχανίας και των ΗΠΑ, όπως αντιπροσωπεύεται από το FBI.<br />
National Cyber <strong>Security</strong> Alliance (NCSA) 26<br />
Αποτελεί συνεργατική προσπάθεια μεταξύ της βιομηχανίας και κυβερνητικών οργανισμών ώστε να<br />
καλλιεργηθεί η ενημέρωση σε θέματα κυβερνοασφάλειας διαμέσου εκπαιδεύσεων και ενημέρωσης<br />
του κοινού.<br />
Partnership for Critical Infrastructure <strong>Security</strong> (P<strong>CIS</strong>) 27<br />
Αποτελεί συνασπισμό του ιδιωτικού τομέα που αποτελείται από συντονιστές κρίσιμων υποδομών.<br />
Εργάζεται με σκοπό την ανάπτυξη από κοινού πολιτικών για την ασφάλεια των CΙs, ενώ εξετάζει και<br />
διατομεακά θέματα.<br />
23 http://www.nist.gov.<br />
24 http://www.it-isac.org.<br />
25 http://www.infragard.net.<br />
26 http://www.staysafeonline.org.<br />
27 http://www.pcis.org.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
62
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Cyber Incident Detection και Data Analysis Center (CIDDAC)<br />
Αποτελεί την πρώτυη ιδιωτική μη-κερδοσκοπική ομάδα που έστησε ένα δίκτυο ανίχνευσης κυβερνοεγκλήματος,<br />
χωριστά από τις προσπάθειες της ίδιας της κυβέρνησης των ΗΠΑ. Ο κύριος σκοπός του<br />
είναι η διαχείριση μιας υποδομής που θα παρέχει αυτοματοποιημένες αναφορές για κυβερνοεπιθέσεις,<br />
με σκοπό την υποστήριξη της προστασίας των κρίσιμων υποδομών.<br />
National Cyber <strong>Security</strong> Partnership (NCSP)<br />
Αποτελεί εθελοντικό συνασπισμό εμπορικών οργανισμών της βιομηχανίας αφοσιωμένο στην εξέταση<br />
διατομεακών θεμάτων κυβερνοασφάλειας, με συνεργατικό τρόπο. Μερικά από τα ιδρυτικά του<br />
μελη είναι: Chamber of Commerce, TechNet, Business Software Alliance, <strong>Information</strong> Technology<br />
Association of America (ITAA).<br />
Institute for <strong>Information</strong> Infrastructure Protection (I3P) 28<br />
Ιδρύθηκε το 2001 και η διαχείρισή του γίνεται από το Dartmouth College. Αποτελεί μια συνεργασία<br />
από εθνικά ινστιτούτα που κατέχουν ηγετική θέση σε θέματα κυβερνοασφάλειας, περιλαμβανομένων<br />
ακαδημαϊκών ερευνητικών κέντρων, κυβερνητικών εργαστηρίων, και μη κυβερνητικών οργανισμών.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Στη ενότητα αυτή περιγράφονται, συνοπτικά, οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγισης<br />
κοινού που έχουν δημιουργηθεί στις ΗΠΑ:<br />
Federal Bureau of Investigation (FBI)<br />
Παλαιότερα λειτουργούσε, μέσω του NIPC, τώρα είναι πιθανή η προσέγγιση και ενημέρωση του κοινού<br />
να γίνεται μέσα από το US-CERT.<br />
Directorate for <strong>Information</strong> Analysis and Infrastructure Protection (IAIP)<br />
Συλλέγει και αναλύει πληροφορία από διάφορες πηγές, συμπεριλαμβανομένων των CIA, FBI, Defense<br />
Intelligence Agency (DIA), National <strong>Security</strong> Agency (NSA), και δημοσιεύει έγκαιρες προειδοποιήσεις<br />
(early warnings) τρομοκρατικών επιθέσεων.<br />
IAIP/National Cyber <strong>Security</strong> Division (NCSD)<br />
Τον Ιανουάριο του 2004 δημιουργήθηκε το «National Cyber Alert System», ένα επιχειρησιακό σύστημα<br />
που προσφέρει έγκαιρη πληροφορία με σκοπό την καλύτερη προστασία των ΗΠΑ 29 . Επίσης,<br />
το Federal Computer Incident Response Center (FedCIRC), αποτελεί πλέον μέρος του NCSD, και<br />
παρέχει στις υπηρεσίες τα κατάλληλα εργαλεία για την ανίχνευση κυβερνοεπιθέσεων και την απόκριση<br />
σε αυτές.<br />
CERT Coordination Center (CERT/CC) - Carnegie Mellon University<br />
Ιδρύθηκε το 1998 και λειτουργεί ως το συντονιστικό κομβικό σημείο των ειδικών κατά τη διάρκεια<br />
των περιστατικών ασφάλειας, και δουλεύει προς την κατεύθυνση της αποφυγής μελλοντικών ατυχημάτων.<br />
US-CERT<br />
Δημιουργήθηκε από το DHS και το CERT/CC και συνεργάζεται με το IAIP/NCSD.<br />
Internet <strong>Security</strong> Alliance<br />
Δημιουργήθηκε τον Απρίλιο του 2001, σαν ένας δημόσιος τόπος συζήτησης (forum) για την ανταλλαγή<br />
πληροφοριών σχετικά με θέματα ασφάλειας.<br />
28 http://www.thei3p.org.<br />
29 http://www.us-cert.gov/cas.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
63
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
<strong>Information</strong> Sharing and Analysis Centers (ISACs)<br />
Ουσιαστικά αποτελούν μια βάση δεδομένων έγκαιρης προειδοποιήσης, όπου οι ιδιοκτήτες και οι διαχειριστές<br />
του ιδιωτικού τομέα έχουν τη δυνατότητα να παρακολουθούν περιστατικά και να διαχέουν<br />
την πληροφορία σε ένα κεντρικό σημείο επαφής για την ανταλλαγή πληροφορίας, και στη συνέχεια<br />
να διανείμουν την πληροφορία στα μέλη του ISAC.<br />
OnGuardOnline.gov (operated by Federal Trade Commission, help from DHS)<br />
Παρέχει πρακτικές συμβουλές προερχόμενες από την ομοσπονδιακή κυβέρνηση και τη βιομηχανία<br />
τεχνολογίας για να βοηθήσει τους χρήστες να είναι σε επιφυλακή ενάντια σε περιπτώσεις εξαπάτησης<br />
μέσω Διαδικτύου (internet fraud), να ασφαλίζουν τους υπολογιστές τους και να προστετεύουν τις<br />
προσωπικές τους πληροφορίες.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι στις ΗΠΑ που σχετίζονται με θέματα CICIP είναι οι ακόλουθοι:<br />
• Federal Advisory Committee Act (FACA) 1972.<br />
• Computer Fraud and Abuse Act (CFAA) 1986.<br />
• Homeland <strong>Security</strong> Act 2002.<br />
• Critical Infrastructure <strong>Information</strong> Act: Procedures for Handling Critical.<br />
• Infrastructure <strong>Information</strong>.<br />
• Freedom of <strong>Information</strong> Act (FOIA).<br />
• Terrorism Risk Insurance Act 2002.<br />
3.3.3.2 Αυστραλία<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, AUS-06, BSI-04a, Obe-06] στην Αυστραλία ακολουθείται η προσέγγιση<br />
«All Hazards», ενώ το μοντέλο CICIP είναι ημιδιαφανές.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Σχετικά με τις πρωτοβουλίες και τις πολιτικές που έχουν αναπτυχθεί σε θέματα CICIP, οι σχετικές<br />
δράσεις έχουν ξεκινήσει από το 1999, όταν εκδόθηκε η «Australian Government policy on National<br />
<strong>Information</strong> Infrastructure (NII) protection», ως υποσύνολο του CIP.<br />
To 2001, παρουσιάστηκε η «E-<strong>Security</strong> National Agenda (ESNA)», και ακολούθησε το 2003 το «National<br />
Counter-Terrorism Plan (NCTP)», η δεύτερη έκδοση του οποίου παρουσιάστηκε το 2005, ό-<br />
που το CICIP ως μέρος της συνολικής προσπάθειας καταπολέμησης της τρομοκρατίας.<br />
Το 2006 εκδόθηκε το «ESNA review», με τον καθορισμό τριών νέων προτεραιοτήτων:<br />
• Gov ICT: Με στόχο τη μείωση των κινδύνων της σχετικά με την ασφάλεια των πληροφοριακών<br />
και επικοινωνιακών συστημάτων της Αυστραλιανής Κυβέρνησης.<br />
• National <strong>Information</strong> Infrastructures: μείωση των κινδύνων σχετικά με την ασφάλεια των κρίσιμων<br />
εθνικών υποδομών της Αυστραλίας.<br />
• Consumers, Companies: Βελτίωση της προστασίας των οικιακών χρηστών και των μικρομεσαίων<br />
επιχειρήσεων από ηλεκτρονικές επιθέσεις και από απάτη.<br />
Οργανωτικές δομές<br />
Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στην Αυστραλία είναι οι ακόλουθες:<br />
Δημόσιες Υπηρεσίες<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
64
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
E-<strong>Security</strong> Coordination Group (ESCG)<br />
Αποτελεί το κύριο όργανο για το συντονισμό και την ανάπτυξη πολιτικής σε μη κρίσιμες περιοχές<br />
της ηλεκτρονικής ασφάλειας, σε επίπεδο κυβέρνησης αλλά και στην ευρύτερη κοινωνία.<br />
<strong>Information</strong> Infrastructure Protection Group (IIGP)<br />
Αποτελεί διατμηματικό επιτροπή της Αυστραλιανής κυβέρνησης, υπεύθυνη για το συντονισμό της<br />
πολιτικής και την παροχή τεχνικών συμβουλών/απόκρισης σε σχέση με επιθέσεις σε ΝΙΙ. Μέλη της<br />
συγκεκριμένης υπηρεσίας (μεταξύ άλλων, στρατός, υπηρεσίες, πληροφοριών) είναι οι α) Defence<br />
Signals Directorate (DSD), β) Australian <strong>Security</strong> Intelligence Organisation (ASIO), γ) Australian Federal<br />
Police (AFP), δ) Department of the Prime Minister and Cabinet (PMκαιC), ε) Australian Government<br />
<strong>Information</strong> Management Office (AGIMO), στ) Attorney-General’s Department’s (AGD),<br />
ζ) Department of Communications, <strong>Information</strong> Technology and the Arts (DCITA), η) Department<br />
Of Transport <strong>And</strong> Regional Services (DOTARS) και θ) Department of Foreign Affairs and Trade<br />
(DFAT).<br />
Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα (PPP)<br />
Business-Government Partnership (Public-Private Partnership / PPP)<br />
Το 2002 το Business-Government Task Force πρότεινε την ίδρυση του Trusted <strong>Information</strong> Sharing<br />
Network (TISN) για CIP. Αποτέλεσε σημαντικό βήμα προς την κατεύθυνση της ενσωμάτωσης του<br />
ιδιωτικού τομέα στο στρατηγικό σχεδιασμό για CIP.<br />
Αναλυτική περιγραφή του Trusted <strong>Information</strong> Sharing Network (TISN)<br />
Το TISN 30 τέθηκε σε λειτουργία το 2003. Πρόκειται για ένα forum όπου οι ιδιοκτήτες και οι διαχειριστές<br />
των κρίσιμων υποδομών μπορούν να συνεργαστούν ανταλλάσοντας πληροφορίες σχετικά με θέματα<br />
ασφάλειας που έχουν επίδραση στις κρίσιμες υποδομές. Αποτελείται από εννέα (9) Infrastructure<br />
Assurance Advisory Groups (IAAGs) για αντίστοιχους επιχειρησιακούς τομείς και εποπτεύεται<br />
από το Critical Infrastructure Advisory Council (CIAC). Περιλαμβάνει τρία (3) Expert Advisory<br />
Groups. Το Σχήμα 77 απεικονίζει τις δομές της Αυστραλίας που αφορούν CIP:<br />
Critical Infrastructure Advisory Council (CIAC)<br />
Ασχολείται με μεσομακροπρόθεσμα θέματα σχετικά με προληπτικές δράσεις CIP, και ειδικά με εκείνα<br />
τα θέματα που έχουν επιπτώσεις μεταξύ τομέων. Δεν εμπλέκεται σε διευθετήσεις σχετικά με την<br />
απόκριση σε περιστατικά ασφάλειας. Αποτελεί την οδό για τον προσδιορισμό των απαιτήσεων σχετικά<br />
με CI RκαιD.<br />
Σημαντικά Advisory Groups του ΤΙSN<br />
Communications Sector Infrastructure Assurance Advisory Group (CSIAAG)<br />
Αποτελεί μία από τις εννέα τομεακές ομάδες (sector groups) του TISN. Αποτελείται από αντιπροσώπους<br />
από τις τηλεπικοινωνίες, τις μεταδόσεις (broadcast), τον τομέα των ταχυδρομικών υπηρεσιών<br />
και τον τομέα «international submarine cable».<br />
Ανταλλάσσει πληροφορίες σχετικά με την προστασία των βασικών επικοινωνιακών δικτύων και των<br />
αντίστοιχων διευκολύνσεων. Έχει αναπτυχθεί πλαίσιο διαχείρισης κινδύνων, σε επίπεδο τομέων, το<br />
οποίο και ελέγχεται.<br />
30 http://www.tisn.gov.au/.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
65
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP<br />
<strong>Information</strong> <strong>Security</strong> Expert Advisory Group (ITSEAG)<br />
Αποτελεί ένα από τα τρία (3) Expert Advisory Groups που παρέχουν συμβουλευτική υποστήριξη στο<br />
TISN και στο CIAC. Αποτελείται από ειδικούς σε θέματα ασφάλειας ΙΤ (IT security experts), από τη<br />
βιομηχανία, την κυβέρνηση και την ακαδημαϊκή κοινότητα. Συμβουλεύει τις τομεακές ομάδες (sector<br />
groups) του TISΝ σε θέματα ασφάλειας ΙΤ που επηρεάζουν την ασφάλεια των CI της Αυστραλίας.<br />
Τον Αύγουστο του 2004, ιδρύθηκε το SCADA (Supervisory Control and Data Acquisition) Community<br />
of Interest (CoI), που αποτελείται από επαγγελματίες SCADA που προέρχονται από τους τομείς CI.<br />
Επίσης, η συγκεκριμένη κοινότητα οργανώνει ημερίδες για τη βελτίωση της επαγρύπνησης σε θέματα<br />
ασφάλειας στον τομέα SCADA.<br />
Άλλες Δημόσιες Υπηρεσίες που ασχολούνται με θέματα CICIP<br />
Department of Communications, <strong>Information</strong> Technology και the Arts (DCITA)<br />
Συμμετέχει στις CIP δραστηριότητες της Αυστραλιανής κυβέρνησης μέσω του TISΝ, ενώ προεδρεύει<br />
και παρέχει γραμματειακή υποστήριξη στο ITSEAG και στο CSIAAG.<br />
Australian Government <strong>Information</strong> Management Office (AGIMO) 31<br />
Εδρεύει στο Department of Finance και Administration και παρέχει στρατηγική πληροφόρηση, συμμετοχή<br />
σε δραστηριότητες και αντιπροσώπευση σχετικά με την εφαρμογή των ΤΠΕ στη δημόσια διοίκηση.<br />
Διαχειρίζεται το domain gov.au.<br />
31 http://www.agimo.gov.au.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
66
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Defense Signals Directorate (DSD)<br />
Αποτελεί την Εθνική Αρχή της Αυστραλίας σε θέματα ασφάλειας πληροφοριών και ανάλυσης σημάτων<br />
(information security and signals intelligence). Χειρίζεται το <strong>Information</strong> <strong>Security</strong> Group (INFO-<br />
SEC).<br />
Australian <strong>Security</strong> Intelligence Organisation (ASIO)<br />
Αποτελεί την Εθνική Υπηρεσία Ασφάλειας της χώρας. Ανέπτυξε την «Australian <strong>Security</strong> Intelligence<br />
Organisation Act (1979) (ASIO Act)».<br />
Australian Federal Police (AFP)<br />
Ανέπτυξε την «Cybercrime Act» (2001). Της ανήκει το Australian High Tech Crime Centre (AHT -<br />
CC) 32 .<br />
Attorney-General’s Department (AGD)<br />
Χειρίζεται το GovCERT.au 33 .<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Οι κυριότεροι μηχανισμοί που έχουν αναπτυχθεί για την προειδοποίηση και την προσέγγιση και<br />
ενημέρωση του κοινού, είναι οι ακόλουθοι:<br />
<strong>Information</strong> <strong>Security</strong> Incident Detection Reporting and Analysis Scheme (ISIDRAS)<br />
Η διαχείρισή του γίνεται από το DSD και η κύρια λειτουργία του είναι η συλλογή πληροφορίας για<br />
περιστατικά ασφάλειας που επηρεάζουν την ασφάλεια ή τη λειτουργία των συστημάτων πληροφοριών<br />
και επικοινωνιών της Αυστραλιανής Κυβέρνησης. Παρέχει αναφορές (reports) σε τακτική βάση.<br />
OnSecure Website<br />
Αποτελεί κοινή πρωτοβουλία του DSD και του AGIMO. Mέσω αυτού οι κυβερνητικές υπηρεσίες<br />
μπορούν να αναφέρουν πληροφορίες σχετικά με περιστατικά ασφάλειας on-line. Δρα συμπληρωματικά<br />
προς το ISIDRAS και επιτρέπει τη δημόσια πρόσβαση σε επιλεγμένες πληροφορίες.<br />
Australian Computer Emergency Response Team (AusCERT) 34<br />
Αποτελεί μη κερδοσκοπικό οργανισμό που τον διαχειρίζεται το University of Queensland. Παρέχει<br />
σημαντικές πληροφορίες ασφάλειας στον ιδιωτικό τομέα και σε μερικές κυβερνητικές υπηρεσίες με<br />
τη μορφή fee-for-service. To Mάιο του 2003 δημιουργήθηκε το National <strong>Information</strong> Technology<br />
Alert Service (NITAS) που παρέχει δωρεάν υπηρεσία σε συνδρομητές, που είναι κυρίως ιδιοκτήτες<br />
και διαχειριστές ΝΙΙ.<br />
Τέλος, με σκοπό τη θέση σε ετοιμότητα των οικιακών χρηστών και των μικρομεσαίων επιχειρήσεων,<br />
δημιουργήθηκε το STAYSMARTONLINE 35 από το DCITA.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι είναι οι ακόλουθοι:<br />
• Electronic Transactions Act 1999.<br />
• Cybercrime Act 2001.<br />
• <strong>Security</strong> Legislation Amendment (Terrorism) Act 2002.<br />
32 http://www.ahtcc.gov.au/.<br />
33 http://www.ag.gov.au/govcert.<br />
34 http://national.auscert.org.au/.<br />
35 www.staysmartonline.gov.au.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
67
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Spam Act 2003.<br />
3.3.3.3 Νέα Ζηλανδία<br />
Ορισμός Κρίσιμων Τομέων<br />
Στη Νέα Ζηλανδία υπάρχουν ξεκάθαροι ορισμοί για το τί σημαίνει CIP, ενώ οι των σχετικών προσπαθειών<br />
ηγούνται οι δομές άμυνας. Οι προσεγγίσεις CICIP ενσωματώνονται στις συνολικές αντιτρομοκρατικές<br />
προσπάθειες, όπου η κοινότητα της ανάλυσης πληροφοριών παίζει σημαντικό ρόλο.<br />
Η προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας δεν είναι εύκολα διαχωρίσιμη από τα μετρα<br />
και τις πρωτοβουλίες που αναπτύσσονται στην Αυστραλία, δεδομένου ότι υπάρχει πολύ στενή<br />
συνεργασία μεταξύ των δύο κρατών.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Τον Ιούνιο του 2000 αναπτύχθηκε το «Defense Policy Framework». Το συγκεκριμένο πλαίσιο προδιαγράφει<br />
το CICIP ως στόχο-κλειδί για την καθολική πολιτική ασφάλειας της χώρας. Το Centre for<br />
Critical Infrastructure Protection (CCIP) ασχολείται με τα θέματα του στόχου αυτού που σχετίζονται<br />
με τις κυβερνοαπειλές.<br />
Στις 8 Δεκεμβρίου του 2000 εκδόθηκε από το New Zealand’s State Services Commission’s e-Government<br />
Unit η αναφορά με τίτλο «Protecting New Zealand’s Infrastructure from Cyber-Threats».<br />
Ασχολήθηκε με την προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας από το κυβερνοέγκλημα<br />
και άλλες απειλες ΙΤ. Παρείχε υποδείξεις σχετικά με:<br />
• Την ίδρυση ενός οργανισμού, στη Νέα Ζηλανδία, για την αντιμετώπιση περιστατικών και την παρακολούθηση<br />
της ασφάλειας.<br />
• Την εναρμόνιση της νομοθεσίας της Νέας Ζηλανδίας, σχετικά με τα εγκλήματα υπολογιστών, με<br />
αυτής άλλων χωρών (π.χ. Αυστραλία, ΗΠΑ, Βρετανία και Καναδά).<br />
• Την καθιέρωση ενός προγράμματος διαρκούς συνεργασίας μεταξύ των ιδιοκτητών κρίσιμων υποδομών<br />
και της κυβέρνησης.<br />
• Την υιοθέτηση συγκεκριμένων προτύπων ΙΤ ασφάλειας.<br />
Τον Ιούνιο του 2001 εκδόθηκε από το e-Government Unit το «June 2001 – “Towards a Centre for<br />
Critical Infrastructure Protection (CCIP)». Πρότεινε την ίδρυση ενός «Κέντρου για την προστασία<br />
των κρίσιμων υποδομών». Τελικά, η συγκεκριμένη αρμοδιότητα εκχωρήθηκε στο Government Communications<br />
<strong>Security</strong> Bureau, λόγω της κουλτούρας του σε θέματα ασφάλειας, της σημαντικής τεχνογνωσίας<br />
του σε θέματα ασφάλειας IT και του γεγονότος ότι η συγκεκριμένη λύση κρίθηκε πιο επωφελής.<br />
Το 2002 εκδόθηκε το «Manual on <strong>Security</strong> in the Government Sector», από την «Interdepartmental<br />
Committee on <strong>Security</strong>». Έλαβε υπόψη το πρότυπο «AS/NZS ISO/IEC 17799:2001“<strong>Information</strong><br />
Technology - Code of Practice for <strong>Information</strong> <strong>Security</strong> Management», που εκδόθηκε, από κοινού, α-<br />
πό Αυστραλία και Νέα Ζηλανδία.<br />
Περιείχε κατευθυντήριες γραμμές για την ασφάλεια, υποχρεωτικές για: α) Government departments,<br />
β) Ministerial Offices, γ) New Zealand Police, δ) New Zealand Defense Force, ε) New Zealand<br />
<strong>Security</strong> Intelligence Service και στ) Government Communications <strong>Security</strong> Bureau (GCSB).<br />
Πρότεινε, η συνολική ευθύνη για την ασφάλεια να ανήκει σε έναν Manager, τον Departmental <strong>Security</strong><br />
Officer (DSO), με καθήκοντα:<br />
• Τη διατύπωση και την υλοποίηση της γενικής πολιτικής ασφάλειας.<br />
• Να αποτελεί το σύνδεσμο, για την παροχή ειδικών συμβουλών, με την Interdepartmental Committee<br />
on <strong>Security</strong> (ICS), την New Zealand <strong>Security</strong> Intelligence Service (NZSIS) και το GCSB.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
68
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Λίγο αργότερα αναπτύχθηκε ο δικτυακός τόπος «<strong>Security</strong> Policy and Guidance Website» 36 , που παρέχει<br />
πληροφόρηση σχετικά με τις δραστηριότητες της κυβέρνησης στον τομέα της ασφάλειας πληροφοριών<br />
και λειτουργεί ως σημείο εστίασης για τη δημοσίευση κυβερνητικής πληροφόρησης σχετικά<br />
με τα πρότυπα ασφάλειας, τις διαδικασίες και τους πόρους.<br />
Επίσης, αναπτύχθηκε το «Standards New Zealand (SNZ)» που προωθεί διάφορα συγκεκριμένα πρότυπα<br />
για τη νέα Ζηλανδία, ενώ φιλοξενεί, διεθνή πρότυπα που αναπτύσσονται από κοινού μεταξύ<br />
Αυστραλίας και Νέας Ζηλανδίας. Ειδικότερα, το πρότυπο «AS/NZS ISO/IEC 17799 <strong>Information</strong> <strong>Security</strong><br />
Management» παρέχει μια επισκόπηση των παραγόντων που πρέπει να λαμβάνονται υπόψη<br />
και να συμπεριλαμβάνονται στην προστασία της πληροφορίας και των πληροφοριακών συστημάτων.<br />
Τέλος, υπάρχει και το «National <strong>Information</strong> Infrastructure Protection 37 .<br />
Οργανωτικές δομές<br />
Οι κυριότερες οργανωτικές δομές της Νέας Ζηλανδίας, σχετικά με CICIP, είναι οι ακόλουθες:<br />
Τhe Domestic and External Secretariat (DESS)<br />
Αποτελεί τον κύριο πρωταγωνιστή, υπεύθυνο για τη διατύπωση της πολιτικής ασφάλειας της Νέας<br />
Ζηλανδίας, συμπεριλαμβανομένων των θεμάτων CICIP. Συντονίζει τις κεντρικές κυβερνητικές δραστηριότητες<br />
που έχουν ως στόχο την προστασία της εσωτερικής και εξωτερικής ασφάλειας της Νέας<br />
Ζηλανδίας, περιλαμβανομένων των: α) ανάλυση πληροφοριών (Intelligence), β) ετοιμότητα για την<br />
αντιμετώπιση της τρομοκρατίας (Counter-terrorism), γ) διαχείριση έκτακτων περιστατικών και κρίσεων<br />
(Emergency και crisis management), και δ) αμυντικές λειτουργίες (Defense operations).<br />
O Διευθυντής του DESS παρέχει έγκαιρη συμβουλευτική υποστήριξη στον Πρωθυπουργό σε θέματα<br />
που επηρεάζουν την ασφάλεια της Νέας Ζηλανδίας, συμπεριλαμβανομένων αυτών που αφορούν πολιτική,<br />
νομοθεσία, λειτουργίες και προϋπολογισμό. Το DESS προσφέρει γραμματειακή υποστήριξη<br />
στο Officials Committee for Domestic and External <strong>Security</strong> Co-ordination (ODESC).<br />
Officials Committee for Domestic and External <strong>Security</strong> Co-ordination (ODESC)<br />
Σε αυτό προεδρεύει ο Πρωθυπουργός. Λαμβάνει αποφάσεις πολιτικής, σε υψηλό επίπεδο, σχετικά με<br />
θέματα ασφάλειας και ανάλυσης πληροφοριών (intelligence), περιλαμβανομένης της πολιτικής υψηλής<br />
εποπτείας σε περιοχές όπως: α) Intelligence and security, β) Terrorism maritime security και γ)<br />
Emergency preparedness.<br />
Περιλαμβάνει chief executives από τους οργανισμούς: Ministry of Foreign Affairs and Trade, Ministry<br />
of Defense and the Defense Force, New Zealand <strong>Security</strong> Intelligence Service, Government Communications<br />
<strong>Security</strong> Bureau, Police, Ministry of Civil Defense and Emergency Management, Treasury.<br />
Interdepartmental Committee on <strong>Security</strong> (ICS)<br />
Αποτελεί υπο-επιτροπή του ODESC η οποία διατυπώνει και συντονίζει την εφαρμογή όλων των<br />
πλευρών της πολιτικής ασφάλειας. Θέτει κοινά ελάχιστα πρότυπα σχετικά με την ασφάλεια και την<br />
προστασία. Επίσης, παρέχει λεπτομερή συμβουλευτική υποστήριξη σε θέματα ασφάλειας πληροφοριών<br />
στην κυβέρνηση και σε άλλους οργανισμούς ή όργανα που λαμβάνουν ή τηρούν διαβαθμισμένη<br />
πληροφορία (classified information).<br />
Center for Critical Infrastructure Protection (CCIP) 38<br />
Ιδρύθηκε το 2001 και αποτελεί τον κεντρικό οργανισμό που ασχολείται με θέματα CICIP. Παρέχει<br />
συμβουλευτική υποστήριξη σε ιδιοκτήτες CI, του δημόσιου και του ιδιωτικού τομέα, με σκοπό την<br />
προστασία της Νέας Ζηλανδίας από τις κυβερνοαπειλές. Εδρεύει στο Government Communications<br />
36 http://www.security.govt.nz.<br />
37 http://www.egovt.nz/archive/services/safe.<br />
38 http://www.ccip.govt.nz.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
69
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
<strong>Security</strong> Bureau και έχει τρία (3) κύρια καθήκοντα: α) Την παροχή συνεχούς και αδιάλειπτης επαγρύπνησης<br />
και συμβουλευτικών υπηρεσιών σε ιδιοκτήτες κρίσιμων υποδομών και σε κυβερνητικά<br />
τμήματα, β) Την ανάλυση και διεξαγωγή έρευνας σχετικά με κυβερνοεπιθέσεις και γ) τη συνεργασία<br />
με εθνικούς και διεθνείς οργανισμούς κρίσιμων υποδομών για τη βελτίωση της ετοιμότητας και της<br />
επικοινωνίας σχετικά με την ασφάλεια ΙΤ.<br />
Government Communications <strong>Security</strong> Bureau (GCSB)<br />
Αποτελεί πολιτικό οργανισμό, ουσιαστικά την «signals intelligence agency», που λειτουργεί από το<br />
1977. Αναφέρει απευθείας στον Πρωθυπουργό και χειρίζεται τα θέματα CCIP. Παρέχει συμβουλευτική<br />
υποστήριξη και βοήθεια σε κυβερνητικά τμήματα και υπηρεσίες της Νέας Ζηλανδίας σχετικά με<br />
την ασφάλεια σε συστήματα επεξεργασίας πληροφοριών. Διασφαλίζει την ακεραιότητα, τη διαθεσιμότητα<br />
και την εμπιστευτικότητα των επίσημων πληροφοριών (official information), μέσα από την<br />
παροχή υπηρεσιών Ασφάλειας Πληροφοριακών Συστημάτων (INFOSEC) σε τμήματα και υπηρεσίες<br />
της κυβέρνησης της Νέας Ζηλανδίας.<br />
Συνεισφέρει στην προστασία των κρίσιμων υποδομών από απειλές ΙΤ και παράγει τις δημοσιεύσεις<br />
«New Zealand <strong>Security</strong> of <strong>Information</strong> Technology (NZSIT)». Ουσιαστικά πρόκειται για κατευθυντήριες<br />
γραμμές για τους κυβερνητικούς οργανισμούς της Νέας Ζηλανδίας με σκοπό την παροχή υποστήριξης<br />
στην ασφάλεια και την προστασία των συστημάτων ΙΤ, και των συσχετιζόμενων πληροφοριών<br />
και υπηρεσιών.<br />
E-Government Unit<br />
Ιδρύθηκε τον Ιούλιο του 2000, μέσα στο State Services Commission. Έργα που υλοποιούνται υπό την<br />
αιγίδα του είναι τα: α) «Secure Electronic Environment (S.E.E.), for protecting sensitive information<br />
among agencies» και β) Η μελέτη «Protecting New Zeeland's Infrastructure from Cyber-Threats».<br />
Συμπράξεις Ιδιωτικού - Δημόσιου Τομέα (PPP)<br />
New Zealand <strong>Security</strong> Association (NZSA)<br />
Ιδρύθηκε το 1972 και αντιπροσωπεύει πιστοποιημένα άτομα που παρέχουν υπηρεσίες σε τμήματα<br />
της κυβέρνησης, κρατικές υπηρεσίες, επιχειρήσεις και ιδιωτικούς χρήστες. Έχει δύο μέλη-ομάδες:<br />
• Corporate members: Μεμονωμένα άτομα ή εταιρείες που δραστηριοποιούνται στην ασφάλεια.<br />
• Associate members: Μεμονωμένα άτομα ή εταιρείες που ασχολούνται ή ενδιαφέρονται για την α-<br />
σφάλεια, χωρίς να προσφέρουν υπηρεσίες στο κοινό, όπως κυβερνητικοί οργανισμοί, ασφαλιστικές<br />
εταιρείες, αεροπορικές εταιρείες, τράπεζες, διανομείς τροφίμων, πετρελαϊκές εταιρείες κλπ.<br />
Κύριοι στόχοι του είναι:<br />
• Καθορισμός ελάχιστων προτύπων λειτουργίας.<br />
• Ανάπτυξη και έγκριση κωδικών πρακτικής (codes of practice).<br />
• Η συνεργασία με την αστυνομία, τα κυβερνητικά τμήματα, και άλλους οργανισμούς και υπηρεσίες<br />
που σχετίζονται με την προστασία ανθρώπων, περιουσίας και πληροφοριών στη Νέα Ζηλανδία.<br />
• Παροχή πληροφόρησης και συμβουλευτικών υπηρεσιών, εκπαίδευσης και κατάρτισης.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Διασυνοριακή συνεργασία μεταξύ Αυστραλίας και Νέας Ζηλανδίας<br />
AusCERT<br />
Αποτελεί την εθνική CERT της Αυστραλίας που παρέχει σημαντική υποστήριξη σε οργανισμούς της<br />
Νέας Ζηλανδίας. Αποτελεί μια από τις ηγετικές CERT στην Ασία και τον Ειρηνικό Ωκεανό. Παρέχει<br />
στα μέλη του στρατηγικές για την απόκριση, και τον περιορισμό των απωλειών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
70
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
CCIP<br />
Έχει ενεργή σχέση με το AusCERT και παρέχει υπηρεσία έγκαιρης ενημέρωσης (early-warning) καθώς<br />
και μια καθοδηγούμενη λίστα ηλεκτρονικού ταχυδρομείου (moderated mailing list) διαμέσου<br />
του διακτυακού του τόπου.<br />
Τέλος, διάφοροι άλλοι εμπορικοί οργανισμοί, όπως η εταιρεία της Νέας Ζηλανδίας με την επωνυμία<br />
Co-logic, παρέχουν πληροφόρηση σχετικά με ευπάθειες (vulnerability alerts), φιλτραρισμένη και<br />
προσαρμοσμένη στις ανάγκες των πελατών τους.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Ο κυριότερος νόμος σχετικά με θέματα CICIP είναι ο «Crimes Amendment Act 2003», που αφορά εγκλήματα<br />
που διαπράττονται με τη χρήση ηλεκτρονικών υπολογιστών.<br />
3.3.3.4 Καναδάς<br />
Ορισμός Κρίσιμων Τομέων<br />
Σύμφωνα με τα [Abe-06, BSI-o4a, Wen-02], τόσο οι ορισμοί των κρίσιμων τομέων όσο και η ερμηνεία<br />
σχετικά με το CIP είναι σαφείς. Η προσέγγιση που ακολουθείται είναι τύπου «All Hazards», καθώς<br />
η προστασία των ΤΠΕ ενσωματώνεται στην έννοια «Total Defense».<br />
H ανάμειξη του ιδιωτικού τομέα δεν είναι ιδιαίτερα μεγάλη, αν και οι περισσότερες από τις υποδομές<br />
του Καναδά ανήκουν σε ιδιωτικούς φορείς. Έχει αναπτύξει μόνιμο κέντρο ανάλυσης πληροφοριών<br />
(Government Operations Center-GOC), ώστε οι στρατηγικές πληροφορίες να είναι διαθέσιμες στους<br />
decision makers του ιδιωτικού και του δημόσιου τομέα, με αποτελεσματικό τρόπο.<br />
Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική<br />
Στον Καναδά, το Public Safety και Emergency Preparedness Canada (PSEPC) (περιγράφεται αναλυτικά<br />
παρακάτω) αναπτύσσει τις πρωτοβουλίες και τις πολιτικές για την προστασία των CΙs, ενώ προωθεί<br />
την εθνική συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα. Οι Καναδικές δραστηριότητες<br />
στον τομέα cyber-protection εστιάζονται σε «Awareness and resilience of IT systems and services».<br />
Τον Απρίλιο του 2004 αναπτύχθηκε η «Canada’s National <strong>Security</strong> Policy 2004». Στο πλαίσιο αυτά<br />
δόθηκε η έκθεση «Securing An Open Society: Canada’s National <strong>Security</strong> Policy», που προέβλεπε:<br />
• Ένα στρατηγικό πλαίσιο και πλάνο δράσης σχεδιασμένο για να διασφαλίζεται ότι η κυβέρνηση<br />
του Καναδά μπορεί να προετοιμαστεί κατάλληλα και να ανταποκριθεί αποτελεσματικά και παρούσες<br />
και μελλοντικές απειλές.<br />
• Την ανάγκη για ένα ολοκληρωμένο εθνικό σύστημα αντιμετώπισης επειγόντων περιστατικών.<br />
• Το προτεινόμενο πρόγραμμα δράσης (Blueprint) περιελάμβανε έξι (6) περιοχές: Intelligence,<br />
Emergency management, Public health, Transportation, Border security, International security.<br />
Το Νοέμβριο του 2004, στο πλαίσιο του «National Critical Infrastructure Protection Strategy» εκδόθηκε<br />
το «Position Paper on a National Strategy for Critical Infrastructure Protection».<br />
Την άνοιξη του 2005 διενεργήθηκε μια εθνική διαβούλευση μεταξύ του PSEPC και άλλων επιπέδων<br />
της κυβέρνησης και των ιδιοκτητών και των διαχειριστών των εθνικών υποδομών. Το αποτέλεσμα ή-<br />
ταν η «National Critical Infrastructure Protection Strategy», που προδιέγραψε τις περιοχές προτεραιότητας<br />
για το CIP καθώς και ένα πλάνο υλοποίησης, που ακολούθησε την έκδοση της στρατηγικής.<br />
Στο πλαίσιο του «Mitigation and Response Review», αναπτύχθηκαν δύο πρωτοβουλίες για ένα ομοιογενές<br />
σύστημα διαχείρισης εκτάκτων περιστατικών:<br />
• «National Disaster Mitigation Strategy (NDMS)»: Αποσκοπούσε στην αποτροπή και τη μείωση<br />
των κινδύνων, των επιπτώσεων και των οικονομικών απωλειών από εθνικές καταστροφές.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
71
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• «National Emergency Response System (NERS)»: Αποτελεί το μηχανισμό βάσει του οποίου η<br />
κυβέρνηση μπορεί να ανταποκριθεί και να διαχειριστεί τις αρχικές επιπτώσεις από μια επείγουσα<br />
κατάσταση.<br />
Το 2005 αναπτύχθηκε η «Government-on-Line (GoL) policy» που αποτέλεσε ένα πλάνο για την υλοποίηση<br />
ενός τεχνολογικού και πολιτικού πλαισίου που προστατεύει την ασφάλεια και την ιδιωτικότητα<br />
των Καναδών πολιτών στις ηλεκτρονικές τους συναλλαγές με την κυβέρνηση.<br />
Το Joint Infrastructure Interdependencies Research Program (JIIPR) αποτελεί μια συνεργασία μεταξύ<br />
του PSEPC και του Natural Sciences and Engineering Research Canada. Χρηματοδοτεί ακαδημαϊκά<br />
ερευνητικά έργα για τη μελέτη των αλληλοεξαρτήσεων των μεγαλύτερων συστημάτων υποδομών<br />
του Καναδά.<br />
Η «<strong>Information</strong> Technology Systems Research and Development Initiative» δημιούργησε μια κοινή<br />
Ομάδα Εργασίαςς για τη συνεργασία σε ερευνητικά έργα πληροφοριακών υποδομών καθώς και για<br />
την ανάπτυξη μιας, από κοινού, μακροπρόθεσμης ερευνητικής ατζέντας. Οι εμπλεκόμενες<br />
κυβερνητικές υπηρεσίες, μεταξύ άλλων είναι: PSEPC, Defence Research and Development Canada,<br />
Communications <strong>Security</strong> Establishment, Industry Canada’s Communications Research Centre.<br />
Οργανωτικές δομές<br />
Οι κυριότερες οργανωτικές δομές σχετικά με CICIP που έχουν αναπτυχθεί στον Καναδά, είναι οι α-<br />
κόλουθες:<br />
Public Safety and Emergency Preparedness Canada (PSEPC) 39<br />
Δημιουργήθηκε στις 12 Δεκεμβρίου 2003 και αποτελεί ηγετικό χαρτοφυλάκιο που ασχολείται με θέματα<br />
CIP/CICIP. Ενσωματώνει το Department of the Solicitor General, National Crime Prevention<br />
Centre και το Office of Critical Infrastructure Protection and Emergency Management. Επίσης, περιλαμβάνει<br />
το Royal Canadian Mounted Police (RCMP), την Canadian <strong>Security</strong> Intelligence Service<br />
(CSIS), την Correctional Service of Canada, το National Parole Board, το Canada Firearms Centre,<br />
την Canada Border Services Agency, καθώς και τρία (3) review bodies.<br />
Παρέχει καθοδηγεί τη χάραξη πολιτικής και παραδίδει προγράμματα και υπηρεσίες στην περιοχή της<br />
εθνικής ασφάλειας, της διαχείρισης επειγόντων περιστατικών, της ανάπτυξης πολιτικής, της ασφάλειας<br />
συνόρων και της πρόληψης εγκλημάτων. Διασφαλίζει τη συνοχή της πολιτικής των έξι (6) υπηρεσιών<br />
που αναφέρουν απευθείας στον Υπουργό. Αποτελεί το σημείο αναφοράς για το συντονισμό, την<br />
ανάλυση και την ανταλλαγή πληροφοριών που σχετίζονται με φυσικούς και ιδεατούς κινδύνους, εναντια<br />
στις Καναδικές κρίσιμες υποδομές.<br />
Το PSEPC λαμβάνει «<strong>Information</strong> Bulletins» από το Joint Department of Homeland <strong>Security</strong>/Federal<br />
Bureau of Investigation, για μια ποικιλία από κινδύνους και θέματα ασφάλειας. Μόλις λάβει την<br />
πληροφόρηση, το Government Operations Center (GOC) του PSEPC εκτιμά το μέγεθος της απειλής<br />
για τον Καναδά και διανέμει περαιτέρω το δελτίο ειδήσεων (bulletin) και την εκτίμηση στους ιδιοκτήτες<br />
και διαχειριστές των κρίσιμων υποδομών, καθώς και στα σημεία επαφής του Καναδά που διαχειρίζονται<br />
επείγοντα περιστατικά.<br />
Integrated Threat Assessment Centre (ITAC)<br />
Δημιουργήθηκε για να διευκολύνει την ενσωμάτωση πληροφόρησης από διάφορες πηγές σε περιεκτικές<br />
εκτιμήσεις απειλών. Περιλαμβάνει διάφορα ομοσπονδιακά τμήματα της κυβέρνησης, όπως: PSE-<br />
PC, Canadian <strong>Security</strong> Intelligence Service, Department of National Defense, Canada Border Services<br />
Agency, Foreign Affairs Canada, Transport Canada, Royal Canadian Mounted Police, Communications<br />
<strong>Security</strong> Establishment, Ontario Provincial Police, και Privy Council Office.<br />
Εστιάζει στην εκτίμηση κινδύνων σχετικά με τοπικά και διεθνή γεγονότα και τάσεις που σχετίζονται<br />
με τρομοκρατικές ενέργειες. Οι εκτιμήσεις του ITAC διανέμονται: α) Στην ομοσπονδιακή κυβέρνηση<br />
39 http://www.ps-sp.gc.ca.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
72
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
και σε άλλους εταίρους από άλλες χώρες, διαμέσου του κέντρου, β) Σε υπηρεσίες επιβολής του νόμου,<br />
διαμέσου της Royal Canadian Mounted Police και γ) Στον ιδιωτικό τομέα, στην επαρχία και<br />
στην επικράτεια, διαμέσου του PSEPC.<br />
Federal Provincial High-Level Forum on Emergencies<br />
Αποτελεί μόνιμο δημόσιο τόπο συζήτησης σε υψηλό επίπεδο, για θέματα διαχείρισης επειγόντων περιστατικών,<br />
μεταξύ των κύριων εθνικών παικτών.<br />
Cross-Cultural Roundtable on <strong>Security</strong><br />
Αποτελεί βασικό στοιχείο της Εθνικής Πολιτικής Ασφάλειας (National <strong>Security</strong> Policy).<br />
Δημιουργήθηκε για να εμπλέξει τους Καναδούς και την Καναδική κυβέρνηση σε ένα μακροπρόθεσμο<br />
διάλογο σε θέματα που σχετίζονται με την εθνική ασφάλεια, καθώς επηρεάζουν μια ποικιλότροπη<br />
και πλουραλιστική κοινωνία. Συνεργάζεται με τον Υπουργό του PSEPC και τον Υπουργό Δικαιοσύνης.<br />
Συμπράξεις Δημόσιου-Ιδιωτικού Τομέα (PPP)<br />
Ο Καναδικός ιδιωτικός τομέας λειτουργεί και διαχειρίζεται σχεδόν το ογδόντα πέντε (85) τοις εκατό<br />
των υποδομών της χώρας και διαδραματίζει πρωτεύοντα ρόλο στην ασφάλεια του κυβερνοχώρου.<br />
Εθνικοί τομεακοί οργανισμοί έχουν ενεργό ρόλο στην προώθηση βελτιωμένων προσπαθειών σχετικά<br />
με CIP, όπως: Canadian Electricity Association (CEA), Canadian Bankers Association (CBA), Canadian<br />
Telecommunications Emergency Preparedness Association (CTEPA).<br />
National Critical Infrastructure Assurance Program (NCIAP)<br />
Αποτελεί ένα πλαίσιο συνεργατικής δράσης που προωθεί την ανάπτυξη ανθεκτικών και βιώσιμων<br />
εθνικών κρίσιμων υποδομών διαμέσου συνεργασιών μεταξύ της κυβέρνησης και του ιδιωτικού τομέα.<br />
Αναπτύσσει μέσα για την καλύτερη εκτίμηση των κινδύνων, των ευπαθειών, των απειλών και των<br />
αλληλεξαρτήσεων που μπορούν να επηρεάσουν την επιχειρησιακή συνέχεια των NCI.<br />
Μηχανισμοί προειδοποίησης και προσέγγιση κοινού<br />
Canadian Cyber Incident Response Centre (CCIRC)<br />
Ανήκει στο PSEPC και αποτελεί το εθνικό σημείο αναφοράς για το συντονισμό της απόκρισης σε περιστατικά<br />
κυβερνοασφάλειας καθώς και για την παρακολούθηση του περιβάλλοντος των κυβερνοαπειλών,<br />
στο μοντέλο αδιάλειπτης λειτουργίας (24x7x365). Κατέχει ηγετική θέση σε θέματα εθνικής<br />
και διεθνούς κυβερνοετοιμότητας και απόκρισης. Οι υπηρεσίες που παρέχει σε κρίσιμους τομείς υποδομών,<br />
σχετίζονται με: α) Την απόκριση σε περιστατικά, συντονισμός και υποστήριξη (Incident response,<br />
coordination and support), β) Την παρακολούθηση και ανάλυση του περιβάλλοντος των κυβερνοαπειλών<br />
(Monitoring and analysis of the cyber-threat environment), γ) την παροχή τεχνικής<br />
υποστήριξης σε θέματα ασφάλειας ΙΤ (IT security-related technical advice) και δ) την εθνική ενημερωση<br />
(national awareness) και εκπαίδευση (εξάσκηση, πρότυπα, βέλτιστες πρακτικές).<br />
Government Operations Centre (GOC)<br />
Ανήκει και αυτό στο PSEPC και παρέχει στρατηγικού επιπέδου συντονισμό και καθοδήγηση, για λογαριασμό<br />
της κυβέρνησης του Καναδά, ανταποκρινόμενο σε ένα αναδυόμενο συμβάν που έχει επίδραση<br />
στα εθνικά συμφέροντα.<br />
Νομοθετικό και Κανονιστικό Πλαίσιο<br />
Οι κυριότεροι νόμοι που σχετίζονται με θέματα CIP είναι:<br />
• Canadian Criminal Code Sections.<br />
• The Emergencies Act 1988.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
73
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• The Emergency Preparedness Act 1988.<br />
• C-78 - Emergency Management Act 2005.<br />
• The Department of Public Safety and Emergency Preparedness Act 2005.<br />
3.3.4 Άλλες Χώρες<br />
Στο [Αβε-06] αναφέρονται και άλλες χώρες όπως:<br />
• Ευρώπη: Αυστρία, Φινλανδία, Γαλλία, Ιταλία, Νορβηγία, Ρωσία.<br />
• Χώρες εκτός Ευρώπης: Ινδία, Ιαπωνία, Κορέα, Μαλαισία, Σιγκαπούρη.<br />
Τα οργανωτικά σχήματα των χωρών αυτών δεν παρουσιάζονται εδώ, γιατί κρίθηκε ότι δεν είναι ιδιαίτερα<br />
ώριμα, συγκριτικά με τα οργανωτικά σχήματα των χωρών που παρουσιάζονται στο παρόν.<br />
3.3.5 Διεθνείς Οργανισμοί<br />
Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθούνται<br />
από Διεθνείς Οργανισμούς.<br />
3.3.5.1 Ευρωπαϊκή Ένωση<br />
Γενικά<br />
Σύμφωνα με τα [Αβε-06, ΒΣΙ-04a,, EC-04, EC-05, EC-06a, EC-06b], η Ευρωπαϊκή Ένωση (ΕΕ) απότελεί<br />
παίκτη-κλειδί, σε διεθνές επίπεδο, αναφορικά με τη διασφάλιση πληροφοριών. Θέματα σχετικά<br />
με CICIP, την Κοινωνία της Πληροφορίας, και την Ασφάλεια Πληροφοριών θεωρούνται πολύ σημαντικά.<br />
Η προστασία των επικοινωνιακών και πληροφοριακών υποδομών αποτελεί προτεραιότητα, δεδομένης<br />
της οριζόντιας φύσης της και των διασυνδέσεων με άλλες κρίσιμες υποδομές.<br />
Η ΕΕ έχει ξεκινήσει πρωτοβουλίες και ερευνητικά προγράμματα για να εξετάσει διάφορες οπτικές<br />
σχετικά με την εξέλιξη της πληροφορίας και την επίδρασή της στην εκπαίδευση, στις επιχειρήσεις,<br />
την υγεία και τις επικοινωνίες. Οι τρομοκρατικές επιθέσεις στη Μαδρίτη το 2004 και στο Λονδίνο το<br />
2005 υπογράμμισαν τους κινδύνους που εγκυμονούν οι τρομοκρατικές επιθέσεις κατά των Ευρωπαϊκών<br />
υποδομών.<br />
Το Ευρωπαϊκό Πλαίσιο CIP<br />
Στις 17-18 Ιουνίου 2004 το Ευρωπαϊκό Συμβούλιο (European Council) ζήτησε από την Ευρωπαϊκή<br />
Επιτροπή (European Commission/EC) την προετοιμασία μιας καθολικής στρατηγικής για την προστασία<br />
των κρίσιμων υποδομών. Στις 22 Οκτωβρίου 2004 η ΕE εξέδωσε την «Communication on<br />
Critical Infrastructure Protection in the Fight against Terrorism» [EC-04], που:<br />
• Προσδιόρισε της κρίσιμες υποδομές (CI).<br />
• Απαρίθμησε τους κρίσιμους τομείς.<br />
• Προσδιόρισε κριτήρια για τον καθορισμό των CIs, από τα Κράτη-Μέλη (Κ-Μ) της ΕΕ.<br />
• Παρείχε προτάσεις/υποδείξεις για τη βελτίωση της ικανότητας αποτροπής, ετοιμότητας και ανταπόκρισης<br />
σε τρομοκρατικές επιθέσεις που αφορούν κρίσιμες υποδομές.<br />
Η συγκεκριμένη οδηγία πρότεινε:<br />
• Την εκκίνηση ενός «European Programme for Critical Infrastructure Protection (EPCIP)».<br />
• Τη δημιουργία ενός «Critical Infrastructure Warning <strong>Information</strong> Network (CIWIN)».<br />
Οι προτάσεις αυτές έγιναν δεκτές από το Ευρωπαϊκό Συμβούλιο στις 16-17 Δεκεμβρίου 2004.<br />
Στις 17 Νοεμβρίου 2005 εκδόθηκε το «Green Paper on the policy options for a “European Programme<br />
on Critical Infrastructure Protection» [EC-05]. Αυτό:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
74
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Σκιαγράφησε τις επιλογές για τη βελτίωση της αποτροπής, της ετοιμότητας και της απόκρισης με<br />
σκοπό την προστασία των κρίσιμων υποδομών της ΕΕ.<br />
• Παρείχε επιλογές σχετικά με το πώς μπορεί η Ευρωπαϊκή Επιτροπή να ανταποκριθεί στο αίτημα<br />
του Ευρωπαϊκού Συμβουλίου για την υλοποίηση του EPCIP και την ίδρυση ενός Critical Infrastructure<br />
Warning <strong>Information</strong> Network (CIWIN).<br />
Αποτέλεσε τη δεύτερη φάση μιας διαδικασίας διαβούλευσης που άρχισε με την «Communication on<br />
CIP» της Επιτροπής, που υιοθετήθηκε τον Οκτώβριο του 2004 [EC-04].<br />
Το Green Paper ασχολήθηκε με θέματα όπως: α) EPCIP’s protection aim, β) Key principles, γ) The<br />
type of framework needed, δ) Definitions and a comprehensive list of EU Critical Infrastructures<br />
(ECI), ε) ECI versus National Critical Infrastructures (NCI), στ) The role of CI owners, operators, and<br />
users και ζ) The role of CIWIN, and the evaluation and monitoring of critical infrastructure (interdependencies).<br />
Υπήρξε συνεισφορά από 22 Κράτη-Μέλη (Κ-Μ) και από περισσότερες από εκατό (100)<br />
ιδιωτικές εταιρείες και βιομηχανικούς οργανισμούς.<br />
Στις 12.12.2006 υιοθετήθηκε ένα «Policy package on ECIP» που αποτελείτο από μια «Communication<br />
on “A European Program for Critical Infrastructure Protection (EPCIPP)» [EC-06a] 40 . Η συγκεκριμένη<br />
οδηγία ασχολήθηκε με: α) τη γενική πολιτική, σε σχέση με το EPCIP, β) τo CIWIN, γ) τις<br />
εργασίες για την ανάπτυξη του EPCIP, δ) τις αλληλεξαρτήσεις μεταξύ των τομέων, ε) το ετήσιο πλάνων<br />
εργασιών και στ) τη συνεχιζόμενη εργασία σχετικά με τις Εθνικές Κρίσιμες Υποδομές. Επίσης,<br />
έγινε πρόταση για μια «Directive on the identification and designation of European Critical Infrastructure»<br />
[EC-06b]. Αυτή εστίασε στην ανάδειξη της Ευρωπαϊκής διάστασης των κρίσιμων υποδομών<br />
(European Critical Infrastructure or «ECI»).<br />
Συνοπτικά, λοιπόν, το EPCIP περιλαμβάνει:<br />
• Οδηγία (Directive), με μέτρα για τη διευκόλυνση της υλοποίησης του EPCIP, που περιλαμβάνουν:<br />
α) ένα «EPCIP Action Plan», β) την υλοποίηση ενός «Critical Infrastructure Warning<br />
<strong>Information</strong> Network (CIWIN)» -που έχει στόχο την υποβοήθηση των Κ-Μ, των οργανισμών της<br />
ΕΕ και των ιδιοκτητών και λειτουργών των CIs στην ανταλλαγή πληροφοριών σχετικά με απειλές<br />
και ευπάθειες-, και γ) τη χρήση ομάδων ειδικών (expert groups) για τον προσδιορισμό και<br />
την ανάλυση των αλληλοεξαρτήσεων.<br />
• Παροχή υποστήριξης στα K-Μ σχετικά με τις Κρίσιμες Εθνικές Υποδομές (National Critical<br />
Infrastructures –NCIs).<br />
• Συνοδευτικά μέτρα οικονομικής φύσεως, με την υποβολή πρότασης για ένα Ευρωπαϊκό πρόγραμμα<br />
σχετικά με «Prevention, Preparedness and Consequence Management of Terrorism and<br />
other <strong>Security</strong> Related Risks» για την περίοδο 2007-2013, που παρέχει δυνατότητες χρηματοδότησης<br />
για μέτρα σχετικά με CIP, για τις οποίες υπάρχει δυνατότητα μεταφερσιμότητας.<br />
Προπαρασκευαστικές δράσεις σχετικά με CICIP<br />
Στην ΕΕ υπάρχει αρκετή κινητικότητα, σχετικά με θέματα CICIP, που αποτυπώνεται σε συγκεκριμενες<br />
ενέργειες και δραστηριότητες που έχουν ήδη ξεκινήσει στα προηγούμενα χρόνια. Στο πλαίσιο<br />
αυτό:<br />
Το 2006 εκπονήθηκε η μελέτη «Availability and Robustness of Electronic Communications Infrastructures”<br />
(ARECI)». Το 2007 έλαβαν χώρα οι ακόλουθες δραστηριότητες:<br />
• Άτυπη συνάντηση των Εθνικών εμπειρογνωμόνων σχετικά με CICIP (National experts on CIC-<br />
IP), στις Βρυξέλλες, στις 19 Ιανουαρίου 2007.<br />
• Δημόσια διαβούλευση (public consultation), τον Απρίλιο του 2007, σχετικά με το τελικό παραδοτέο<br />
της μελέτης ARECI, που εκπονήθηκε από την Κοινοπραξία Alcatel-Lucent.<br />
40 http://ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
75
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Συνάντηση μεταξύ των Κ-Μ και του ιδιωτικού τομέα, σχετικά με τα αποτελέσματα της προαναφερθείσας<br />
δημόσιας διαβούλευσης, στις Βρυξέλλες, στις 18 Ιουνίου 2007.<br />
• Διοργάνωση ημερίδας, (workshop) με τίτλο «Contingency practices», στις 19 Σεπτεμβρίου 2007.<br />
• Διοργάνωση ημερίδας, με τίτλο «Challenges for awareness raising», στις 7 Δεκεμβρίου 2007.<br />
• Εκπόνηση μελέτης με τίτλο «Critical dependencies of energy, finance and transport infrastructures<br />
on ICT infrastructures».<br />
Το 2008 έλαβαν χώρα τα ακόλουθα:<br />
• Διοργάνωση ημερίδας με τίτλο «Learning from large scale attacks on the Internet: policy implications»<br />
41 , στις 17 Ιανουαρίου 2008, στις Βρυξέλλες.<br />
• Οργάνωση συνάντησης των Κ-Μ σχετικά με τα κριτήρια για τον προσδιορισμό των Ευρωπαϊκών<br />
Κρίσιμων Υποδομών στον τομέα ΤΠΕ, στις Βρυξέλλες, στις 5 Φεβρουαρίου 2008.<br />
Προγραμματίζονται μελέτες και έργα, χρηματοδοτούμενα από το πρόγραμμα EPCIP, με τίτλο «Prevention,<br />
Preparedness and Consequence Management of Terrorism and other <strong>Security</strong> Related Risks».<br />
Επόμενα βήματα σχετικά με EPCIP<br />
Ήδη, στην ΕΕ, σχεδιάζονται τα επόμενα βήματα σχετικά με το EPCIP, που περιλαμβάνουν τις ακόλουθες<br />
ενέργειες/δράσεις, με την ονομασία «Διάλογος και Συνεργατικότητα», που περιλαμβάνει:<br />
• Την πρωτοβουλία, σε επίπεδο πολιτικής, με την ονομασία «CLWP 2008» (COM(2007) 640), που<br />
πρόκειται να ανακοινωθεί το 2009 και έχει σαν κύριο στόχο τη βελτίωση της ετοιμότητας και της<br />
απόκρισης σε θέματα CICIP στην ΕΕ και τη διασφάλιση ότι υπάρχουν επαρκή και συνεπή επίπεδα<br />
μέτρων, αποτροπής, ανίχνευσης, ανάκαμψης και αντιμετώπισης επειγουσών καταστάσεων.<br />
Η προσέγγιση που θα ακολουθηθεί βασίζεται στη θεμελίωση πρωτοβουλιών σε επίπεδο εθνικό<br />
και ιδιωτικού τομέα, στην εμπλοκή ενδιαφερόμενων τόσο του ιδιωτικού όσο και του δημόσιου<br />
τομέα, την υιοθέτηση της προσέγγισης «All-hazards», και την ενδυνάμωση των συνεργιών.<br />
Οι προκλήσεις σχετικά με CICIP είναι τόσο οργανωσιακές, π.χ. με τη θεμελίωση σχέσεων εμπιστοσύνης<br />
και με την εμπλοκή ενδιαφερομένων, σε επίπεδο ΕΕ, αλλά και προσανατολισμένες στη<br />
χάραξη πολιτικής ώστε να υπάρχει μεγαλύτερη κατανόηση και σαφήνεια των σχετικών θεμάτων.<br />
Τα θέματα που εξετάζονται αφορούν: α) τη διαφορά μεταξύ Εθνικών και Ευρωπαϊκών Πληροφοριακών<br />
Υποδομών και τα σχετικά κριτήρια για το διαχωρισμό τους, β) τη μακροπρόθεσμη ανθεκτικότητα<br />
και τη σταθερότητα του Διαδικτύου, γ) την ανάπτυξη μέτρων αποτροπής, ανίχνευσης<br />
και έγκαιρης προειδοποίησης και απόκρισης, δ) την ανάπτυξη στρατηγικών ανάκαμψης και συνέχισης<br />
λειτουργίας, ε) την ανταλλαγή τεχνογνωσίας και πρακτικών, την ανάπτυξη μεθόδων διασφάλισης<br />
της πληροφορίας μεταξύ διαφορετικών τομέων, στ) την ανάπτυξη κουλτούρας και εργαλείων<br />
σχετικά με τη διαχείριση κινδύνων, και ζ) την εξέταση θεμάτων σχετικά με αλληλοεξαρτησεις,<br />
ειδικά μεταξύ ετερογενών υποδομών.<br />
• Τη χρηματοδότηση προγραμμάτων, στο πλαίσιο του EPCIP, για την εκπόνηση έρευνας και μελετών<br />
σε θέματα CICIP 42 .<br />
Έρευνα και Τεχνολογική Ανάπτυξη<br />
Μετά τα γεγονότα της 11.09.2001 στις ΗΠΑ, η ΕΕ αναγνώρισε την αυξημένη ανάγκη για έρευνα<br />
(R&D) στον τομέα της Ασφάλειας (<strong>Security</strong> Research). Στο πλαίσιο αυτά αναπτύχθηκε το «Preparatory<br />
Action on <strong>Security</strong> Research (PASR, 2004-2006)», με περιορισμένη χρηματοδότηση για την υλοποίηση<br />
μικρών έργων. Σύμφωνα με την «European <strong>Security</strong> Research Program (ESRP) agenda», υ-<br />
πήρξε κάλυψη όλων των πεδίων E&TA, αναφορικά με εθνική ασφάλεια και ασφάλεια σε διεθνές επίπεδο:<br />
CBRNE (Chemical, Biological, Radiological, Nuclear or Explosives), Ασφάλεια συνόρων<br />
41 http://ec.europa.eu/information_society/policy/nis/strategy/activities/CICIP/large_scale/index_en.htm.<br />
42 http:// ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
76
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
(Border protection), Ασφάλεια υποδομών (Infrastructure protection), Διαχείριση έκτακτων περιστατικών<br />
(Emergency management).<br />
Τα σχετικά «calls for proposals» για τα έτη 2004-06 αφορούσαν 12-15 έργα με χρηματοδότηση<br />
περίπου 18 M€, ανά έργο. Λίγο αργότερα ακολούθησε το «European <strong>Security</strong> Research Programme<br />
(ESRP)». Στο πλαίσιο αυτά, συστάθηκε το European <strong>Security</strong> Research Advisory Board (ESRAB),<br />
την 01.07.2005. Αποτελεί, κατά κάποιο τρόπο, συμβουλευτικό όργανο της ΕΕ, σε οτιδήποτε αφορά<br />
την υλοποίηση του ESR, το οποίο γνωρίζει σε βάθος την πολιτική της ΕΕ στο συγκεκριμένο θέμα και<br />
υποστηρίζει δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης που σχετίζονται με τις πρωτοβουλίες<br />
της πολιτικής της ΕΕ σχετικά με R&D.<br />
Οι κυριότερες προτεραιότητες που έχουν τεθεί αφορούν: α) Τη βελτιστοποίηση της ασφάλειας και<br />
της προστασίας των δικτυωμένων συστημάτων, β) Την προστασία των CIs από τρομοκρατικές ενέργειες<br />
(συμπεριλαμβανομένων των περιστατικών που αφορούν βιολογικά και χημικά συστατικά), γ)<br />
Τη βελτίωση της διαχείρισης κρίσεων (συμπεριλαμβανομένων ενεργειών εκκένωσης, αναζήτησης<br />
και διάσωσης, ελέγχου και θεραπείας), δ) Την επίτευξη διαλειτουργικότητας και ολοκλήρωσης πληροφοριακών<br />
και επικοινωνιακών συστημάτων και ε) Τη βελτίωση της ενημέρωσης, ειδικά σε θέματα<br />
διαχείρισης κρίσεων, αντιτρομοκρατικών ενεργειών και ελέγχου συνόρων.<br />
Επιπρόσθετα, στο πλαίσιο των εργασιών του «2 nd European Conference on <strong>Security</strong> Research» που<br />
έλαβε χώρα στο Βερολίνο, στις 26 Μαρτίου 2007 ανακοινώθηκε η δημιουργία του «European <strong>Security</strong><br />
Research and Innovation Forum (ESRIF)», ενός «Public-Private Dialogue in <strong>Security</strong> Research».<br />
Ουσιαστικά, αποτελεί ένα τόπο δημόσιας συζήτησης (forum) για την ανάπτυξη του διαλόγου μεταξύ<br />
Δημόσιου και Ιδιωτικού Τομέα στην περιοχή της έρευνας και της καινοτομίας, σε θέματα ασφάλειας,<br />
στην ΕΕ. Το ESRIF συνεισφέρει στην ανάπτυξη πιο αποτελεσματικών πολιτικών και στην παράδοση<br />
καλύτερης ασφάλειας στους πολίτες της ΕΕ. Το ESRIF θα παρουσιάσει μια «Joint <strong>Security</strong> Research<br />
Agenda», στα τέλη του 2009.<br />
Τέλος, πρόσφατα ανακοινώθηκε το «Research and Innovation for SEcurity, Privacy and Trustworthiness<br />
in the <strong>Information</strong> Society (RISEPTIS)», που αποτελεί «Advisory Board» της Ευρωπαϊκής Επιτροπής,<br />
υπό την αιγίδα της Επιτρόπου V. Redding και θα παρέχει κατευθυντήριες γραμμές για την<br />
Ευρωπαϊκή πολιτική και τη χρηματοδοτούμενη έρευνα σε ότι αφορά τα θέματα ασφάλειας, ιδιωτικότητας<br />
και εμπιστοσύνης στο Διαδίκτυο.<br />
Σχετικά με τις δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης αξίζει να αναφερθούν τα πλαίσια<br />
«Ιnformation Society Technologies FP6 and FP7», όπου υλοποιούνται σημαντικά έργα στον τομεα<br />
CICIP. Στο πλαίσιο του FP6 43 , αναφέρονται ενδεικτικά τα έργα:<br />
• CI 2 RCO 44 , Coordination Action on CICIP<br />
• IRRIIS 45 , CICIP components for electrical power και telecom sectors<br />
• CRUTIAL 46 , CICIP for electric power<br />
• GRID 47 , electrical power και ICT<br />
• DESEREC 48 , CICIP for telecom sector<br />
Αξίζει να αναφερθεί ότι, στο πλαίσιο των έργων «CI 2 RCO» και «IRRIS» εκδίδεται το «European CIP<br />
Newsletter» (διαμέσου των δικτυακών τους τόπων).<br />
Στο πλαίσιο του FP7 49 αξίζει να αναφερθεί η «Joint Call between "ICT” and “<strong>Security</strong>”» σχετικά με<br />
«Critical Infrastructure Protection», με καταληκτική ημερομηνία υποβολής προτάσεων το Νοέμβριο<br />
του 2007, με δύο κύριες προσεγγίσεις:<br />
43 http://cordis.europa.eu/fp6/.<br />
44 http://www.ci2rco.org/.<br />
45 http://www.irriis.org/.<br />
46 http://crutial.cesiricerca.it/.<br />
47 http://grid.jrc.it/.<br />
48 http://www.deserec.eu/.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
77
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Focus of the ICT Theme: «…Technology building blocks for creating secure, resilient, responsive<br />
and always available information infrastructures linking critical infrastructures (CI’s)…».<br />
• Focus of the <strong>Security</strong> Theme: «…Technology building blocks for secure, resilient and always a-<br />
vailable transport και energy infrastructures that survive malicious attacks or accidental failures<br />
and guarantee continuous provision of services…».<br />
Το Σχήμα 8 απεικονίζει χρονικά τις διάφορες δραστηριότητες της ΕΕ για την ασφάλεια.<br />
Σχήμα 8: European Unio - From PASR to the FP7 Theme «<strong>Security</strong>» (Πηγή: <strong>Information</strong> Day on<br />
Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)<br />
Σημαντικές Υπηρεσίες της ΕΕ<br />
Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Πληροφοριών και Δικτύων (European Network και <strong>Information</strong><br />
<strong>Security</strong> Agency - ENISA 50 ) δημιουργήθηκε, ως νομική οντότητα, στις 14 Μαρτίου 2004 με<br />
σκοπό τη διασφάλιση ενός υψηλού επιπέδου σχετικά με την ασφάλεια δικτύων και πληροφοριών<br />
στην ΕΕ. Το 2005 ο Οργανισμός δημιούργησε το «Who is Who Directory on Network and <strong>Information</strong><br />
<strong>Security</strong>» που περιέχει πληροφορίες και στοιχεία επικοινωνίας σχετικά με υπηρεσίες, οργανισμούς<br />
και φορείς που διαδραματίζουν ρόλο στο πεδίο της «Ασφάλειας Πληροφοριών και Δικτύων»<br />
στα Κ-Μ της ΕΕ. Επίσης, ο Οργανισμός έχει δημιουργήσει λεπτομερή κατάλογο των δραστηριοτητων<br />
CERT στην Ευρώπη καθώς και ένα Permanent Stakeholder’s Group (PSG) που αποτελείται από<br />
εμπειρογνώμονες από τη βιομηχανία, την ακαδημαϊκή κοινότητα και τις κοινότητες χρηστών.<br />
Ανάμεσα στις άλλες του δραστηριότητες, ο Οργανισμός εκδίδει ειδικό ενημερωτικό δελτίο κάθε τετράμηνο<br />
ενώ προωθεί πολιτικές σχετικά με μια «Ασφαλή Κοινωνία της Πληροφορίας» 51 .<br />
Στο Σχήμα 9 συνοψίζονται οι δραστηριότητες R&D και οι πολιτικές της ΕΕ σε θέματα CICIP:<br />
49 http://cordis.europa.eu/fp7/ict/security/fp7_en.html.<br />
50 http://enisa.europa.eu/.<br />
51 EU Police on Secure <strong>Information</strong> Society, http://ec.europa.eu/information_society/policy/nis/index_en.htm.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
78
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: <strong>Information</strong> Day on Critical<br />
Infrastructure Protection Joint Call, Brussels, 27 September 2007)<br />
Νομοθετικό και Κανονιστικό Πλαίσιο στην ΕΕ<br />
Μερικές σημαντικές οδηγίες της ΕΕ είναι οι ακόλουθες:<br />
• Οδηγία σχετικά με την προστασία των προσωπικών δεδομένων: Data Protection Directive 1995<br />
(95/46/EC).<br />
• Οδηγία σχετικά με τις ηλεκτρονικές υπογραφές: Directive on Electronic Signature 1999 (1999/93/<br />
CE).<br />
• Οδηγία σχετικά με την προστασία της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών:<br />
Directive on Privacy Protection in the Electronic Communications Sector 2002 (2002/58/CE).<br />
• Framework Directive 2002 (2002/21/EC).<br />
• Απόφαση του Συμβουλίου της ΕΕΑ σχετικά με τις επιθέσεις σε ΠΣ: Council Framework Decision<br />
on Attacks Against <strong>Information</strong> Systems 2005 (2005/222/JHA).<br />
• Οδηγία σχετικά με τη διατήρηση δεδομένων: Directive on Data Retention 2005.<br />
3.3.6 Διεθνείς Φορείς<br />
Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που<br />
ακουλουθούνται από Διεθνείς Φορείς.<br />
3.3.6.1 Forum of Incident Response and <strong>Security</strong> Teams (FIRST)<br />
Ο συγκεκριμένος Οργανισμός 52 ιδρύθηκε το 1990, ως αναγνωρισμένος παγκόσμιος ηγέτης σε θέματα<br />
διαχείρισης περιστατικών. Αποτελεί ένα τόπο δημόσιας συζήτησης (forum) που ενώνει έναν αριθμό<br />
από ομάδες διαχείρισης περιστατικών θεμάτων ασφαλείας που προέρχονται από κυβερνητικούς, ε-<br />
μπορικούς και ακαδημαϊκούς/εκπαιδευτικούς οργανισμούς. Αυτή τη στιγμή αριθμεί περισσότερα από<br />
180 μέλη από όλες τις ηπείρους.<br />
52 http://www.first.org/.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
79
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Παρέχει πρόσβαση σε επίκαιρα έγγραφα σχετικά με βέλτιστες πρακτικές, τεχνικά έγγραφα για ειδικούς<br />
σε θέματα ασφάλειας, πρακτικά σεμινάρια, εκδόσεις και υπηρεσίες web. Επιπρόσθετα, διοργανώνει<br />
το ετήσιο συνέδριο αντιμετώπισης περιστατικών ενώ διαθέτει και ειδικές ομάδες ενδιαφέροντος<br />
(special interest groups) για διάφορα εξειδικευμένα θέματα.<br />
Αναφορικά με την οργανωτική δομή του και το πλαίσιο λειτουργίας του, ο Οργανισμός αποτελείται<br />
από: α) την Επιτροπή καθοδήγησης (Steering Committee), β) το Συμβούλιο Διευθυντών (Board of<br />
Directors), γ) τη Γραμματεία (Secretariat), δ) τις Ομάδες-Μέλη (Member Teams), ε) τους Συνδέσμους<br />
(Laisons) και στ) τις Ομάδες εργασίας και Επιτροπές (Working Groups και Committees).<br />
3.3.7 Άλλοι Διεθνείς Οργανισμοί<br />
Άλλοι Διεθνείς Οργανισμοί που αναφέρονται στο [Abe-06] είναι οι:<br />
• Group of Eight (G8)<br />
• North Atlantic Treaty Organisation (NATO)<br />
• Organisation for Economic Co-operation and Development (OECD)<br />
• United Nations (UN)<br />
• The World Bank Group<br />
Οι Οργανισμοί αυτοί δεν περιγράφονται στο παρόν, γιατί παραμένουν περισσότερο σε επίπεδο κατευθυντήριων<br />
γραμμών (guidelines) και αρχών (principles).<br />
3.4 Αποτίμηση και Σύγκριση - Συμπεράσματα<br />
3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP<br />
Στους παρακάτω πίνακες (Πίνακας 1, Πίνακας 2) συνοψίζονται τα κριτήρια αξιολόγησης προσεγγίσεων<br />
CICIP που έχουν περιγραφεί σε προηγούμενη ενότητα, με λεπτομέρειες για τις προσεγγίσεις<br />
που ακολουθούνται από κάθε χώρα που περιγράφεται στο παρόν:<br />
Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
80
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
3.5 Προτεινόμενο Πλαίσιο CICIP<br />
Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP<br />
3.5.1 Προτεινόμενο Μοντέλο συνεργασίας<br />
Σύμφωνα με το [Sut-07], μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CIC-<br />
IP (CICIP organisational unit), ιδανικά, περιλαμβάνει τους εξής εταίρους:<br />
• Μια Κυβερνητική Υπηρεσία (governmental agency): Παρέχει στρατηγικές κατευθύνσεις, ηγείται<br />
της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει.<br />
• Ένα Κέντρο Ανάλυσης (analysis center): Που διαθέτει ισχυρές διασυνδέσεις με την κοινότητα<br />
που σχετίζεται με την ανάλυση πληροφοριών (intelligence community) και αποκαλείται και Situation<br />
Center.<br />
• Ένα Κέντρο Αριστείας (technical center of expertise): Συνήθως αποτελείται από μέλη του προσωπικού<br />
ενός εθνικού CERT (CERT Team).<br />
Η τριάδα που απαρτίζει το προτεινόμενο οργανωτικό σχήμα CICIP απεικονίζεται στο Σχήμα 10:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
81
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07]<br />
Ενδεικτικά, το προτεινόμενο οργανόγραμμα του οργανωτικού αυτού σχήματος θα μπορούσε να είναι<br />
το περιγραφόμενο στο Σχήμα 11.<br />
Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07]<br />
Οι εταίροι ενός τέτοιου οργανωτικού σχήματος απαιτείται να διαθέτουν συγκεκριμένα προσόντα, τα<br />
οποία αναφέρονται ενδεικτικά στον Πίνακας 3.<br />
Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07]<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
82
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Προκειμένου να μπορέσει να επιτύχει στις εργασίες της, κάθε μια από τις υπο-ομάδες του οργανωτικού<br />
σχήματος CICIP (Head of the Unit, Situation Center, CERT Team), πρέπει να ενσωματωθεί σε έ-<br />
να ευρύ δίκτυο εθνικών και διεθνών εταίρων με τους οποίους θα αναπτύξει σχέσεις και θα κάνει τις<br />
απαραίτητες επαφές. Το δίκτυο αυτό παρουσιάζεται στο Σχήμα 12.<br />
Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07]<br />
Εξίσου σημαντικό με την οργανωτική δομή μιας μονάδας CICIP είναι και το κοινό στο οποίο απευθύνεται.<br />
Έτσι, το προτεινόμενο σχήμα θα πρέπει να εξυπηρετεί δύο κύριες κατηγορίες «πελατών», με<br />
διαφορετικές ανάγκες και εταίρους:<br />
• Closed Customer Base (CCB): Περιλαμβάνει τους διαχειριστές των κρίσιμων εθνικών υποδομών.<br />
• Open Customer Base (OCB): Περιλαμβάνει όλες τις άλλες εταιρείες (κυρίως SMEs) καθώς και<br />
οικιακούς χρήστες (home computer users).<br />
Το Σχήμα 13 παρουσιάζει διαγραμματικά τη σχεδίαση της CCB.<br />
Σχήμα 13: Δομή CCB [Sut-07]<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
83
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Τα μέλη της CCB μπορούν να ανταλλάσουν μεταξύ τους πληροφορία, σε διάφορα επίπεδα διαβάθμισης.<br />
Τα επίπεδα αυτά παρουσιάζονται σχηματικά στο Σχήμα 14.<br />
Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07]<br />
Το Σχήμα 15 παρουσιάζει τις ομοιότητες και τις διαφορές των δύο βάσεων.<br />
Σχήμα 15: Σύγκριση CCB και OCB [Sut-07]<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
84
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4<br />
Οργανωτικά Σχήματα και Εποπτικοί<br />
Φορείς Ασφάλειας Πληροφοριακών<br />
Συστημάτων στην Ελλάδα<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
85
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4. Οργανωτικά Σχήματα και Εποπτικοί Φορείς Ασφάλειας<br />
Πληροφοριακών Συστημάτων στην Ελλάδα<br />
4.1 Εισαγωγή<br />
Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση οργανωτικών σχημάτων και Φορέων Ασφάλειας<br />
Πληροφοριακών Συστημάτων στον ελλαδικό χώρο.<br />
4.2 Ελληνικοί Εποπτικοί/Κανονιστικοί/Διωκτικοί Φορείς Ασφάλειας<br />
4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας<br />
Το ΓΕΕΘΑ αποτελεί το βασικό φορέα που φροντίζει για την ασφάλεια της χώρας και των συνόρων.<br />
Στο πλαίσιο αυτά και βάσει του Ν. 1892/1990 ρυθμίζει και τις δικαιοπραξίες με αλλοδαπούς στις παραμεθόριες<br />
περιοχές. Επίσης ασχολείται με την ασφάλεια των βιομηχανιών που λειτουργούν στη χώρα,<br />
καθώς και με την γενικότερη εφαρμογή του νομικού και κανονιστικού πλαισίου ασφαλείας. Ο<br />
ρόλος του ΓΕΕΘΑ είναι επιτελικός σε εθνικό επίπεδο και, ως εκ τούτου, οι πολίτες δεν έρχονται άμεσα<br />
σε επαφή με αυτό για θέματα ασφαλείας. Σχετικές καταγγελίες ιδιαίτερα για ζητήματα εθνικής<br />
ασφάλειας μπορούν να γίνονται μέσω των αρμόδιων διωκτικών αρχών της χώρας.<br />
Στον τομέα της ασφάλειας πληροφοριών, μία βασική δράση της Εθνικής Αρχής Ασφάλειας είναι η<br />
έκδοση του Εθνικού Κανονισμού Ασφαλείας (ΕΚΑ) βάσει του Π.Δ. 17/74. Ο κανονισμός αυτός, εκδίδεται<br />
σε συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) και αφορά την ασφάλεια των<br />
ηλεκτρονικά επεξεργασμένων διαβαθμισμένων (εθνικά ευαίσθητων) πληροφοριών. Για την διαμόρφωσή<br />
του έχουν ληφθεί υπόψη οι αντίστοιχοι κανονισμοί του ΝΑΤΟ. Ο κανονισμός αυτός εφαρμόζεται<br />
σε όλους τους δημόσιους φορείς (υπουργεία, περιφέρειες, νομαρχίες κλπ), ενώ υπεύθυνη για την<br />
τηρηση του τεχνικού μέρους του είναι η ΕΥΠ.<br />
4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ<br />
Η ΕΥΠ που ανήκει πλέον στο Υπουργείο Εσωτερικών καθίσταται σύμφωνα με το Νόμο ΕΚ A 39/<br />
03.03.2008 με αρ. 3649 (Παράρτημα Γ) ως Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και υπεύθυνη<br />
του κρατικού CERT κατά την παρ. 5 του Μέρους Ι της υπ΄ αριθμ. 264/19-3-2001 Απόφασης του<br />
Συμβουλίου της Ευρωπαϊκής ΄Ενωσης και την παρ. 3 του άρθρου 2 του Π.Δ. 325/2003, η οποία μεριμνά<br />
για την ασφάλεια των εθνικών επικοινωνιών και των συστημάτων τεχνολογίας πληροφοριών,<br />
καθώς και για την πιστοποίηση του διαβαθμισμένου υλικού των εθνικών επικοινωνιών.<br />
Αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων, κατά την παρ. 36 Τμήμα ΧΙ,<br />
Κεφάλαιο ΙΙΙ του Μέρους ΙΙ της υπ’ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊκής<br />
Ένωσης και την παρ. 4 του άρθρου 2 του Π.Δ. 325/2003, η οποία μεριμνά για τη στατική και ε-<br />
νεργητική αντιμετώπιση σε περιπτώσεις πρόκλησης βλάβης ή καταστροφής δικτύων επικοινωνιών, ε-<br />
γκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής.<br />
4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ<br />
Οι αρμοδιότητες της Διεύθυνσης Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης είναι η προπαρασκευή<br />
και ετοιμότητα των υπηρεσιών (Προεδρίας της Δημοκρατίας, Πολιτικού Γραφείου Πρωθυπουργού,<br />
Γραμματεία Υπουργικού Συμβουλίου, Εθνικού Τυπογραφείου και όλων των Υπηρεσιών, Νομικών<br />
Προσώπων Δημοσίου Δικαίου και Ανεξαρτήτων Αρχών που υπάγονται στη Γενική Γραμματεία Δημόσιας<br />
Διοίκησης), με σκοπό την ομαλή μετάπτωση αυτών από την ειρηνική στην πολεμική περίοδο,<br />
με την κατάρτιση των αναγκαίων σχεδίων και τη λήψη των καταλλήλων μέτρων και μέσων που είναι<br />
απαραίτητα για την πραγματοποίηση της αποστολής της αυτής. Στη Διεύθυνση Πολιτικού Σχεδιασμού<br />
Εκτάκτου Ανάγκης, οι αρμοδιότητες σχετικά με την ασφάλεια είναι:<br />
α) Η κατάρτιση, τήρηση και αναθεώρηση των δι’ αποφάσεως του Κυβερνητικού Συμβουλίου Εξωτερικών<br />
και Άμυνας (ΚΥΣΕΑ) οριζομένων σχεδίων οργανώσεως, προπαρασκευής και κινητοποι-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
86
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ήσεως εν καιρώ πολέμου ή εκτάκτων εν ειρήνη αναγκών των υπηρεσιών της Γενικής Γραμματείας<br />
Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης καθώς και των αυτοτελών επιτελικών<br />
δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσίας.<br />
β) Η κοινοποίηση των Σχεδίων ΠΣΕΑ στις Νομαρχίες και η παροχή οδηγιών για την κατάρτιση των<br />
αντίστοιχων τοπικών σχεδίων.<br />
γ) Η μέριμνα για τη σύνταξη και υποβολή αρμοδίως εκθέσεως επί της προόδου της Πολιτικής Σχεδιασμού<br />
Εκτάκτου Ανάγκης καθώς και προτάσεων επί των ληπτέων μέτρων για την προώθηση<br />
αυτής<br />
δ) Η συγκέντρωση, επεξεργασία, τήρηση και εκμετάλλευση πάσης φύσεως στατιστικών στοιχείων<br />
και πληροφοριών για την αποτελεσματικότερη υποστήριξη των υπηρεσιών της ΓΓΔΔ και ΗΔ καθώς<br />
και η διενέργεια των διατασσομένων απογραφών<br />
ε) Ο έλεγχος της ετοιμότητας και ο συντονισμός των υπηρεσιών της ΓΓΔΔ και ΗΔ καθώς και των<br />
αυτοτελών επιτελικών δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσίας,<br />
για την υλοποίηση των υφισταμένων σχεδίων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης.<br />
στ) η μέριμνα για την προπαρασκευή και εκτέλεση των προγραμματιζομένων εκάστοτε εθνικών και<br />
διασυμμαχικών ασκήσεων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης<br />
ζ) Η παροχή συνδρομής για την υλοποίηση των σχεδίων άλλων Υπουργείων ή Υπηρεσιών, εφόσον<br />
με τις εκάστοτε αποφάσεις του ΚΥΣΕΑ η ΓΓΔΔ και ΗΔ ορίζεται ότι συνεργάζεται με αυτές.<br />
4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ<br />
Η ΥΑΠ του Υπουργείου Εσωτερικών και Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΑΑ) έχει<br />
ως σκοπό την εφαρμογή της Κυβερνητικής Πολιτικής για την εισαγωγή, εφαρμογή και ανάπτυξη της<br />
πληροφορικής και της τεχνολογίας των Ηλεκτρονικών Υπολογιστών στον Δημόσιο Τομέα. Επίσης<br />
ορίστηκε σύμφωνα με το άρθρο 20 του Ν. 3448/2006 (57/Α’/15-03-2006) ως «Αρχή Πιστοποίησης<br />
του Ελληνικού Δημοσίου» (ΑΠΕΔ), δηλαδή ως «Πρωτεύουσα Αρχή Πιστοποίησης» (ΠΑΠ).<br />
Στο έγγραφο της ΥΑΠ με αριθμό πρωτοκόλλου ΥΑΠ/Φ.06.11/3633 (Παράτημα Β) υπογεγραμμένο<br />
από τον Υπουργό, στο άρ. 4 αναφέρεται αποκλειστικά για το θέμα της διαθεσιμότητας των πληροφοριακών<br />
συστημάτων σε όλη την Δημόσια Διοίκηση το οποίο τελικά προτρέπει για δημιουργία “Σχεδίων<br />
Ανάκαμψης Καταστροφών». Συγκεκριμένα αναφέρει:<br />
“Σε πολλούς φορείς του Δημοσίου Τομέα η μη διαθεσιμότητα των πληροφοριακών τους συστημάτων<br />
όποτε τα χρειάζονται, είτε λόγω φυσικών καταστροφών (π.χ. πυρκαγιάς, πλημμύρας, δολιοφθοράς,<br />
κλπ.) είτε λόγω διαφόρων βλαβών (π.χ. διακοπής παροχής ηλεκτρικού ρεύματος, βλαβών διαφόρων<br />
συνιστωσών του υλικού, κλπ), μπορεί να προκαλέσει σημαντικά λειτουργικά προβλήματα, με ιδιαίτερα<br />
δυσάρεστες συνέπειες. Η κατάλληλη χωροθέτηση, η διαμόρφωση των χώρων και ο εξοπλισμός<br />
των Μηχανογραφικών Κέντρων με την αναγκαία υποδομή σε συνδυασμό με τις κατάλληλες πολιτικές<br />
για: α) τη συντήρηση του υλικού και του λογισμικού τους, β) τον εφεδρικό εξοπλισμό και γ) τα ε-<br />
φεδρικά αντίγράφα των ηλεκτρονικών στοιχείων μπορούν να συμβάλουν στην εξασφάλιση του επιθυμητού<br />
υψηλού επιπέδου διαθεσιμότητας και στην αποφυγή όλων των σχετικών λειτουργικών προβλημάτων.”<br />
4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών<br />
Στο Ν. 3431 περί Ηλεκτρονικών Υπηρεσιών, στο άρ. 4 παράγραφος ιστ, ορίζεται το Υπουργείο Μεταφορών<br />
και Επικοινωνιών μαζί με τους παραπάνω φορείς υπεύθυνους για την χάραξη της πολιτικής<br />
επί της ασφάλειας των Δημόσιων Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών από κοινού<br />
με τους συναρμόδιους Υπουργούς.<br />
Στη Στρατηγική του ΥΜΕ για τις Ηλεκτρονικές Επικοινωνίες και τις Νέες Τεχνολογίες 2008-13 αναφέρεται<br />
ως στρατηγική προτεραιότητα του ΥΜΕ η υλοποίηση πολιτικής για την ασφάλεια των Δημόσιων<br />
Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών. Ακόμα δεν έχει ξεκινήσει η εν λόγω διαδικασία.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
87
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4.2.6 Τράπεζα Ελλάδος<br />
Κάποιες από τις υπηρεσίες η-διακυβέρνησης μελλοντικά θα εμπλέκουν και το τραπεζικό σύστημα<br />
(η-πληρωμές, η-τιμολόγηση, η-τραπεζική). Η Διεύθυνση Εποπτείας Πιστωτικού Συστήματος (ΔΕ<br />
ΠΣ) της Τράπεζας της Ελλάδος είναι επιφορτισμένη με την άσκηση της προληπτικής εποπτείας των<br />
πιστωτικών και χρηματοδοτικών ιδρυμάτων η οποία στοχεύει στην διασφάλιση της σταθερότητας και<br />
της εύρυθμης λειτουργίας του εγχώριου χρηματοπιστωτικού συστήματος.<br />
Το Θεσμικό Πλαίσιο για την άσκηση της εποπτείας έχει κατά κύριο λόγο διαμορφωθεί από την ενσωμάτωση<br />
της σχετικής κοινοτικής νομοθεσίας, η οποία με τη σειρά της είναι συμβατή με τις αρχές της<br />
Βασιλείας. Πιο συγκεκριμένα, ο Νόμος 3601/2007 και οι Πράξεις Διοικητή 2587/2007, 2588/2007,<br />
2589/2007, 2590/2007, 2591/2007, 2592/2007, 2593/2007, 2594/2007, 2595/2007, 2596/2007 συνιστούν<br />
το νέο πλαίσιο εποπτείας (Βασιλεία ΙΙ) και οι Πράξεις Διοικητή 2577/2006, 2595/2007 και<br />
2597/2007 καθώς και οι αποφάσεις ΕΤΠΘ 231/4/13.10.2006 και 242/6/04.05.2007 αφορούν στα Συστήματα<br />
Εσωτερικού Ελέγχου (ΣΕΕ)), στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού<br />
συστήματος για τη νομιμοποίηση των εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδότηση<br />
της τρομοκρατίας και σε λοιπά θέματα. Στο πλαίσιο αυτό και σχετικά με τα πληροφοριακά συστηματα<br />
η Τράπεζα της Ελλάδος έχει εκδώσει την Πράξη Διοικητή 2577/2006, στο Παράρτημα 2 της<br />
οποίας περιλαμβάνονται οι "Αρχές ασφαλούς και αποτελεσματικής λειτουργίας των συστημάτων<br />
πληροφορικής στο πλαίσιο της διαχείρισης του λειτουργικού κινδύνου από τα πιστωτικά ιδρύματα".<br />
4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών<br />
Η Διεύθυνση Εγκληματολογικών Ερευνών της Ελληνικής Αστυνομίας αποτελεί την εγκληματολογική<br />
υπηρεσία της χώρα, έχει ενταχθεί στο Δίκτυο Εγκληματολογικών Ινστιτούτων (ENFSI) και παρέχει<br />
υποστήριξη στο έργο όλων των εθνικών διωκτικών αρχών.<br />
Μέρος της παραπάνω Διεύθυνσης είναι o Τομέας Εξέτασης Ψηφιακών Πειστηρίων, ο οποίος εξετάζει<br />
πειστήρια σχετικά με το ηλεκτρονικό έγκλημα που αποστέλλονται σε αυτό μέσω οποιασδήποτε<br />
διωκτικής αρχής της χώρας (κρατική υπηρεσία ή Αρχή). Η εξέταση και ανάλυση των ψηφιακών πειστηρίων<br />
γίνεται με χρήση ειδικών εργαλείων και διαδικασιών (computer forensics). Το μεγαλύτερο<br />
μερος των πειστηρίων που εξετάζονται σήμερα αφορούν περιπτώσεις παιδικής πορνογραφίας.<br />
Υπάρχει η Διεύθυνση χειρισμού κρίσεων (στον Κλάδο Ασφάλειας και Τάξης), που ασχολείται με την<br />
ανάλυση πληροφοριών και εκτίμηση απειλών. Το οργανόγραμμα της Ελληνικής Αστυνομίας περιγράφεται<br />
στο Σχήμα 16.<br />
Οι πολίτες δεν μπορούν να έρθουν άμεσα σε επαφή με την Διεύθυνση Εγκληματολογικών Ερευνών<br />
της Ελληνικής Αστυνομίας, καθώς η ίδια δεν αποτελεί διωκτική αρχή. Αντίθετα, μπορούν να κάνουν<br />
καταγγελίες για ηλεκτρονικό έγκλημα σε όλες τις αρμόδιες διωκτικές αρχές της χώρας και στην συνέχεια<br />
τα πειστήρια προς εξέταση στέλνονται στην παραπάνω Διεύθυνση για περαιτέρω ανάλυση.<br />
Σημειώνεται ότι ήδη έχει ιδρυθεί το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος, που δραστηριοποιείται,<br />
με εμφανείς επιτυχίς, στο πλαίσιο της Διεύθυνσης Ασφάλειας Αττικής, με σκοπό τη διενέργεια<br />
προανακριτικών πράξεων, που αφορούν σε ηλεκτρονικό έγκλημα. Η υπηρεσία αυτή έρχεται σε άμεση<br />
επαφή με τους πολίτες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
88
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4.3 Ρυθμιστικοί φορείς Ασφάλειας<br />
Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας<br />
4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ)<br />
Η ΑΠΠΔ είναι ένας ανεξάρτητος διοικητικός φορέας, υπεύθυνος για την εποπτεία του Νόμου<br />
2472/1997 για την προστασία των προσωπικών δεδομένων και του Νόμου 2774/99 για την προστασία<br />
των προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα στην Ελλάδα.<br />
Η ΑΠΠΔ απευθύνεται στους πολίτες και σε όλους τους υπεύθυνους επεξεργασίας που τηρούν αρχεία<br />
με προσωπικά δεδομένα. Ειδικότερα, οι πολίτες μπορούν να κάνουν ερωτήσεις ή καταγγελίες σχετικά<br />
με θέματα παραβίασης των προσωπικών τους δεδομένων στην ΑΠΠΔ, ενώ οι υπεύθυνοι επεξεργασίας<br />
οφείλουν να συμβουλεύονται την Αρχή και κατά περίπτωση να ζητούν την άδεια της για<br />
την νόμιμη τήρηση των αρχείων τους.<br />
Η Αρχή συγκροτείται από τον Πρόεδρο και έξι μέλη, και εξυπηρετείται από Γραμματεία που λειτουργεί<br />
σε επίπεδο Διεύθυνσης. Ο Πρόεδρος είναι απαραίτητα δικαστικός λειτουργός βαθμού Συμ-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
89
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
βούλου της Επικρατείας ή αντίστοιχου και άνω. Τόσο ο Πρόεδρος όσο και τα μέλη, καθώς και οι ισάριθμοι<br />
αναπληρωτές τους, διορίζονται με τετραετή θητεία που μπορεί να ανανεωθεί μία μόνο φορά.<br />
Η Γραμματεία της Αρχής αποτελείται από τρία Τμήματα: Ελεγκτών, Επικοινωνίας, Διοικητικών και<br />
Οικονομικών Υποθέσεων.<br />
Οι αρμοδιότητες της Αρχής περιλαμβάνουν:<br />
• Έκδοση οδηγιών προς τον σκοπό ενιαίας εφαρμογής των ρυθμίσεων που αφορούν την προστασία<br />
του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.<br />
• Χορήγηση αδειών τήρησης αρχείων με ευαίσθητα δεδομένα σε υπεύθυνους επεξεργασίας, καθώς<br />
επίσης και αδειών διασύνδεσης αρχείων και διασυνοριακής ροής δεδομένων.<br />
• Καταγγελία των παραβάσεων των διατάξεων των παραπάνω Νόμων στις αρμόδιες διοικητικές<br />
και δικαστικές αρχές και επιβολή διοικητικών κυρώσεων.<br />
• Διενέργεια διοικητικών ελέγχων σε αρχεία προσωπικών δεδομένων, οι οποίοι δύναται να είναι<br />
αυτεπάγγελτοι.<br />
• Γνωμοδότηση για ρυθμίσεις που αφορούν επεξεργασία και προστασία δεδομένων προσωπικού<br />
χαρακτήρα.<br />
• Έκδοση κανονιστικών πράξεων για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων.<br />
Πιο συγκεκριμένα, η Αρχή επιβλέπει την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα:<br />
α) Μέσω Οδηγιών – Κανονιστικών Πράξεων<br />
Για το σκοπό αυτό η Αρχή:<br />
• Εκδίδει Οδηγίες για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.<br />
• Εκδίδει Κανονιστικές Πράξεις και γνωμοδοτεί για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών<br />
θεμάτων.<br />
• Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και δίδει κατά την κρίση<br />
της δημοσιότητα σε αυτές.<br />
• Συνεργάζεται με αντίστοιχες αρχές άλλων κρατών μελών της Ε.Ε.<br />
β) Με την υποβολή γνωστοποιήσεων ή τη λήψη αδειών από τους υπεύθυνους επεξεργασίας<br />
Κάθε υπεύθυνος επεξεργασίας είναι υποχρεωμένος σύμφωνα με το άρ. 6 του Ν. 2472/1997 να γνωστοποιεί<br />
εγγράφως στην Αρχή, τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας.<br />
Στο πλαίσιο της γνωστοποίησης είναι υποχρεωμένος να ενημερώσει για τα βασικά χαρακτηριστικά<br />
του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας. Στις περιπτώσεις που<br />
πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων η Αρχή πρέπει να χορηγήσει ά-<br />
δεια προτού ξεκινήσει η επεξεργασία των δεδομένων. Με την έκδοση της άδειας η Αρχή επιβάλει ό-<br />
ρους και προϋποθέσεις για την ίδρυση και λειτουργία του αρχείου. Ανάλογα με τη φύση της επεξεργασίας<br />
απαιτείται η κατάθεση (ή η σύνταξη) κωδίκων δεοντολογίας, σχεδίου ασφαλείας ή/και σχεδίου<br />
έκτακτης ανάγκης.<br />
γ) Με τη διενέργεια ελέγχων<br />
Η Αρχή έχει δικαίωμα διενέργειας διοικητικού ελέγχου σε κάθε αρχείο με προσωπικά δεδομένα. Στο<br />
πλαίσιο του ελέγχου εξετάζεται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που<br />
υποστηρίζουν την επεξεργασία των δεδομένων. Η Αρχή έχει δικαίωμα προσβάσεως στα δεδομένα<br />
προσωπικού χαρακτήρα, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο (αν και υπάρχουν<br />
ειδικές δικλείδες σε περιπτώσεις ζητημάτων εθνικής ασφάλειας). Οι έλεγχοι πραγματοποιούνται<br />
είτε αυτεπάγγελτα, είτε κατόπιν καταγγελίας είτε ανά τομέα επεξεργασίας. Κατά τη διενέργεια των ε-<br />
λέγχων χρησιμοποιούνται συγκεκριμένες μεθοδολογίες, στο πλαίσιο των οποίων εξετάζεται η συμμόρφωση<br />
των υπευθύνων επεξεργασίας με κάθε πτυχή της νομοθεσίας για τα προσωπικά δεδομενα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
90
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Το θέμα της ασφαλούς επεξεργασίας των προσωπικών δεδομένων ρυθμίζεται από το άρθρο 10 του ν.<br />
2472/1997. Σύμφωνα με αυτό το άρθρο η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι α-<br />
πόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου<br />
επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του.<br />
Ο νόμος δεν θέτει συγκεκριμένες απαιτήσεις ασφάλειας για τους υπευθύνους επεξεργασίας. Σύμφωνα<br />
με το νόμο, ο υπεύθυνος επεξεργασίας έχει την ευθύνη να εξασφαλίσει επίπεδο ασφάλειας ανάλογο<br />
προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων. Αναλυτικότερα:<br />
• οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις<br />
από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.<br />
• οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομενων<br />
και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη<br />
διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.<br />
Η Αρχή συμβουλεύει τους υπευθύνους επεξεργασίας στην κατάρτιση κωδίκων δεοντολογίας για την<br />
επεξεργασία προσωπικών δεδομένων και ζητά την υποβολή τους καθώς και την υποβολή σχεδίων<br />
ασφαλείας και/ή σχεδίων έκτακτης ανάγκης ιδιαίτερα στις περιπτώσεις όπου πραγματοποιείται επεξεργασία<br />
ευαίσθητων προσωπικών δεδομένων.<br />
• Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περιλαμβάνουν<br />
τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δεσμευτικός<br />
ως προς την τήρηση του από τους υπαλλήλους του υπευθύνου επεξεργασίας ή τα μέλη<br />
της επαγγελματικής ομάδας.<br />
• Το Σχέδιο Ασφάλειας (<strong>Security</strong> Plan) είναι ένα έγγραφο στο οποίο περιγράφεται η πολιτική ενός<br />
οργανισμού για την κάλυψη των βασικών απαιτήσεων ασφάλειας, καθώς επίσης και τα κύρια τεχνικά,<br />
διοικητικά και οργανωτικά μέτρα ασφάλειας που εφαρμόζονται ή/και πρόκειται να εφαρμοστούν.<br />
Το Σχέδιο Ασφάλειας αφορά τόσο αυτοματοποιημένα, όσο και μη αυτόματοποιημενα<br />
συστήματα διαχείρισης και επεξεργασίας δεδομένων και πρέπει να εφαρμόζεται με ακρίβεια για<br />
την προστασία των ευαίσθητων προσωπικών δεδομένων που τηρούνται από τον οργανισμό. Η<br />
σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσωπο, ορισμένο από τον οργανισμό<br />
και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού.<br />
• Το Σχέδιο Έκτακτης Ανάγκης (Disaster Recovery Plan and Contingency Plan) είναι ένα έγγραφο<br />
που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης ενός συστήματος πληροφοριών<br />
σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/<br />
εισβολές, κλπ. Το Σχέδιο Έκτακτης Ανάγκης συμπληρώνει το Σχέδιο Ασφαλείας ενός οργανισμού<br />
και αφορά τόσο αυτοματοποιημένα, όσο και μη αυτοματοποιημένα συστήματα διαχείρισης<br />
και επεξεργασίας δεδομένων. Η σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσωπο,<br />
ορισμένο από τον οργανισμό και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού.<br />
Ο υπεύθυνος επεξεργασίας πρέπει επίσης να μεριμνά για την ασφαλή καταστροφή των προσωπικών<br />
δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της<br />
επεξεργασίας. Η Αρχή έχει εκδώσει την Οδηγία 1/2005 με ενδεικτικά μέτρα για την ασφάλεια κατά<br />
την καταστροφή των προσωπικών δεδομένων.<br />
4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ)<br />
H ΑΔΑΕ είναι ανεξάρτητη Αρχή που λειτουργεί βάσει του Ν. 3115/2003 µε σκοπό την προστασία<br />
του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας µε οποιονδήποτε<br />
τρόπο.<br />
Επίσης η Α∆ΑΕ γνωμοδοτεί σε συνεργασία με τα αρμόδια Υπουργεία σχετικά με τις διαδικασίες, καθώς<br />
και τις τεχνικές και οργανωτικές εγγυήσεις, για την άρση του απορρήτου των επικοινωνιών, όταν<br />
αυτή διατάσσεται από τις αρµόδιες δικαστικές και εισαγγελικές αρχές.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
91
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας<br />
στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του<br />
απορρήτου όπου αυτό απαιτείται.<br />
Συνοπτικά, οι αρμοδιότητες της ΑΔΑΕ περιλαμβάνουν:<br />
• Προστασία του απορρήτου επιστολών, επικοινωνιών.<br />
• Διενέργεια αυτεπάγγελτων ελέγχων επιχειρήσεων που έχουν γενικό αντικείμενο την επικοινωνία.<br />
• Κατάσχεση ψηφιακών πειστηρίων, καταστροφή στοιχείων που έχουν καταγραφεί παράνομα..<br />
• Κανονιστικές πράξεις.<br />
• Πιστοποίηση μέτρων ασφαλείας βάσει κανονισμών.<br />
• Πιστοποίηση προϊόντων ασφαλείας.<br />
• Εποπτεία της λειτουργίας και οργάνωσης των υπηρεσιών ταχυδρομείων.<br />
• Έλεγχο Παρόχων κινητής τηλεφωνίας - Υποβολή πολιτικής ασφαλείας [ΦΕΚ 87 Β’/26-1-2005<br />
και 88 Β’/26-1-2005].<br />
• Συγκέντρωση ετήσιων εκθέσεων για Περιστατικά Ασφάλειας από τους Παρόχους.<br />
• Έλεγχο Αρχών (πχ. ΕΥΠ).<br />
• Έλεγχο της διαδικασίας άρσης απορρήτου από τους Παρόχους και τις Αρχές.<br />
• [ΠΔ40].<br />
• Εποπτεία της διαδικασίας διατήρησης δεδομένων επικοινωνίας (εξωτερικά στοιχεία επικοινωνίας<br />
– data retention).<br />
• Έλεγχο τραπεζών για διασφάλιση απορρήτου στην επικοινωνία με τα ΑΤΜ.<br />
Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας<br />
στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του<br />
απορρήτου όπου αυτό απαιτείται.<br />
Πιο αναλυτικά, σύμφωνα με το άρθρο 6 του Ν. 3115/03, η ΑΔΑΕ έχει τις ακόλουθες αρμοδιότητες:<br />
α) Διενεργεί, αυτεπαγγέλτως ή κατόπιν καταγγελίας, τακτικούς και έκτακτους ελέγχους, σε εγκαταστασεις,<br />
τεχνικό εξοπλισμό, αρχεία, τράπεζες δεδομένων και έγγραφα της Εθνικής Υπηρεσίας<br />
Πληροφοριών (ΕΥΠ), άλλων δημοσίων υπηρεσιών, οργανισμών, επιχειρήσεων του ευρύτερου<br />
δημόσιου τομέα, καθώς και ιδιωτικών επιχειρήσεων που ασχολούνται με ταχυδρομικές, τηλεπικοινωνιακές<br />
ή άλλες υπηρεσίες σχετικές με την ανταπόκριση και την επικοινωνία. Τον έλεγχο διενεργεί<br />
μέλος (ή μέλη) της ΑΔΑΕ Για τη γραμματειακή υποστήριξη της διαδικασίας ελέγχου<br />
συμμετέχει και υπάλληλός της, εντεταλμένος προς τούτο από τον Πρόεδρό της. Κατά τον έλεγχο<br />
αρχείων που τηρούνται για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Πρόεδρος<br />
της ΑΔΑΕ<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
92
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
β) Λαμβάνει πληροφορίες σχετικές με την αποστολή της από τις υπό το στοιχείο α’ αναφερθείσες υ-<br />
πηρεσίες, οργανισμούς και επιχειρήσεις, καθώς και από τους εποπτεύοντες Υπουργούς.<br />
γ) Καλεί σε ακρόαση, από τις υπηρεσίες, οργανισμούς, νομικά πρόσωπα και επιχειρήσεις που αναφέρονται<br />
στο ως άνω στοιχείο α’, τις διοικήσεις, τους νόμιμους εκπροσώπους, τους υπαλλήλους<br />
και κάθε άλλο πρόσωπο, το οποίο κρίνει ότι μπορεί να συμβάλει στην εκπλήρωση της αποστολής<br />
της.<br />
δ) Προβαίνει στην κατάσχεση μέσων παραβίασης του απορρήτου που υποπίπτουν στην αντίληψή<br />
της κατά την ενάσκηση του έργου της και ορίζεται μεσεγγυούχος αυτών, μέχρι να αποφανθούν<br />
τα αρμόδια δικαστήρια. Προβαίνει στην καταστροφή πληροφοριών ή στοιχείων ή δεδομένων, τα<br />
οποία απόκτήθηκαν με παράνομη παραβίαση του απορρήτου των επικοινωνιών.<br />
ε) Εξετάζει καταγγελίες σχετικά με την προστασία των δικαιωμάτων των αιτούντων, όταν θίγονται<br />
από τον τρόπο και τη διαδικασία άρσης του απορρήτου.<br />
στ) Στις περιπτώσεις των άρθρων 3, 4 και 5 του Ν. 2225/ 1994, η ΑΔΑΕ υπεισέρχεται μόνο στον έ-<br />
λεγχο της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου, χωρίς να εξετάζει την<br />
κρίση των αρμόδιων δικαστικών αρχών.<br />
ζ) Τηρεί αρχείο απόρρητης αλληλογραφίας, σύμφωνα με το στοιχείο β’ της παρ.2 του άρθρου 12<br />
του παρόντος νόμου.<br />
η) Συνεργάζεται με άλλες αρχές της χώρας, με αντίστοιχες αρχές άλλων κρατών, με ευρωπαϊκούς<br />
και διεθνείς οργανισμούς, για θέματα της αρμοδιότητάς της.<br />
θ) Συντάσσει κάθε χρόνο την προβλεπόμενη στην παράγραφο 2 του άρθρου 1 του παρόντος νόμου<br />
Έκθεση Πεπραγμένων, στην οποία περιγράφει το έργο της, διατυπώνει παρατηρήσεις, επισημαίνει<br />
παραλείψεις και προτείνει τυχόν ενδεικνυόμενες νομοθετικές μεταβολές στον τομέα διασφάλισης<br />
του απορρήτου των επικοινωνιών.<br />
ι) Γνωμοδοτεί και απευθύνει συστάσεις και υποδείξεις για τη λήψη μέτρων διασφάλισης του απορρήτου<br />
των επικοινωνιών, καθώς και για τη διαδικασία άρσης αυτού.<br />
ια) Εκδίδει τον Κανονισμό Εσωτερικής Λειτουργίας της, ο οποίος δημοσιεύεται στην Εφημερίδα της<br />
Κυβερνήσεως και ο οποίος πρέπει να είναι σύμφωνος με τις διατάξεις του Κώδικα Διοικητικής<br />
Διαδικασίας.<br />
ιβ) Εκδίδει κανονιστικές πράξεις που δημοσιεύονται στην Εφημερίδα της Κυβερνήσεως, με τις οποίες<br />
ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις ανωτέρω αρμοδιότητές της και<br />
την εν γένει διασφάλιση του απορρήτου των επικοινωνιών.<br />
ιγ) Καταρτίζει τον Κανονισμό Οικονομικής Διαχείρισης, ο οποίος υποβάλλεται και εγκρίνεται από<br />
τον Υπουργό Οικονομίας και Οικονομικών. Προς διαπίστωση των παραβάσεων της νομοθεσίας<br />
περί προστασίας του απορρήτου, τα μέλη και το προσωπικό της ΑΔΑΕ, πλην του βοηθητικού<br />
προσωπικού, διαθέτουν τις εξουσίες και τα δικαιώματα που προβλέπονται στο Ν. 703/1977, όπως<br />
αυτός ισχύει. Επίσης, έχουν δικαίωμα να ελέγχουν τα προβλεπόμενα από το Π.Δ. 186/1992<br />
(ΚΒΣ) βιβλία και στοιχεία επιχειρήσεων και οργανισμών, αποκλειόμενης της κατάσχεσης ή της<br />
παραλαβής τους, καθώς και πάσης φύσεως αρχεία, βιβλία, στοιχεία και λοιπά έγγραφα των υπό<br />
έλεγχο προσώπων, να διενεργούν έρευνα σε γραφεία και λοιπές εγκαταστάσεις τους και, τέλος,<br />
να λαμβάνουν ένορκες και ανωμοτί, κατά την κρίση τους, καταθέσεις, με την επιφύλαξη του άρ.<br />
212 του Κώδικα Ποινικής Δικονομίας. Οι σχετικές διατάξεις, απαγορεύσεις, ποινές και κυρώσεις<br />
του Ν. 703/1977, όπως αυτός ισχύει, εφαρμόζονται αναλόγως σε περίπτωση αρνήσεως παροχής<br />
στοιχείων, παρεμπόδισης ή δυσχέρειας του έργου της ΑΔΑΕ, με την επιφύλαξη της εφαρμογής<br />
των προβλεπόμενων από τον παρόντα νόμο κυρώσεων.<br />
4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)<br />
Η ΕΕΤΤ είναι η ανεξάρτητη ρυθμιστική και εποπτική αρχή για την τηλεπικοινωνιακή αγορά και την<br />
αγορά των ταχυδρομικών υπηρεσιών σε εθνικό επίπεδο. Η ίδρυση της έγινε το 1992 με τον Ν.2075,<br />
αλλά ο σημερινός της ρόλος θεσπίζεται βάσει του νέου Ν.2867/2000.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
93
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Η ΕΕΤΤ απευθύνεται στους πολίτες και επιχειρήσεις με σκοπό την ενημέρωση τους και την εξέταση<br />
ερωτημάτων και καταγγελιών σχετικά με υπηρεσίες τηλεπικοινωνιών και ταχυδρομείων. Για το λόγο<br />
αυτό έχει δημιουργήσει ειδικό Τομέα Εξυπηρέτησης Καταναλωτών που λειτουργεί σε καθημερινή<br />
βάση.<br />
Μερικές από τις αρμοδιότητες της ΕΕΤΤ είναι οι ακόλουθες:<br />
• Ρυθμίζει όλα τα θέματα που αφορούν στις Γενικές και Ειδικές Άδειες τηλεπικοινωνιακών δραστηριοτήτων.<br />
• Καθορίζει τις αρχές κοστολόγησης και τιμολόγησης για την πρόσβαση και χρήση του Τοπικού<br />
Βρόχου, των Μισθωμένων Γραμμών και της Διασύνδεσης, με την έκδοση σχετικών κανονισμών.<br />
• Συντάσσει το Εθνικό Σχέδιο Αριθμοδότησης, εκχωρεί αριθμούς και ονόματα δικτυακών τόπων<br />
(domain names) και προβαίνει στη διαπίστευση των φορέων που παρέχουν πιστοποίηση ηλεκτρονικής<br />
υπογραφής.<br />
• Ρυθμίζει τα σχετικά θέματα του Διαδικτύου<br />
• Επιπλέον μια βασική αρμοδιότητα της ΕΕΤΤ είναι η εποπτεία και ο έλεγχος παροχής υπηρεσιών<br />
ηλεκτρονικής υπογραφής. Ειδικότερα, σύμφωνα με το Π.Δ. 150/2001 «Προσαρμογή στην Οδηγία<br />
99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του συμβουλίου σχετικά με το κοινοτικό πλαίσιο<br />
για ηλεκτρονικές υπογραφές», η ΕΕΤΤ είναι η αρμόδια Αρχή για τον έλεγχο και την εποπτεία<br />
των εγκατεστημένων στην Ελλάδα παρόχων υπηρεσιών πιστοποίησης ηλεκτρονικής υπογραφής<br />
καθώς και για την διαπίστωση της συμμόρφωσης προς τις «ασφαλείς διατάξεις δημιουργίας υ-<br />
πογραφής».<br />
Σύμφωνα με το νόμο περί ηλεκτρονικών επικοινωνιών (Ν.3431/2006), μεταξύ των γενικών αρχών<br />
που διέπουν το πλαίσιο ρύθμισης των ηλεκτρονικών επικοινωνιών περιλαμβάνεται και η διασφάλιση<br />
της «διατήρησης της ακεραιότητας και της ασφάλειας των δημόσιων δικτύων επικοινωνιών» (άρθρο<br />
3, παρ. στστ’).<br />
Ο έλεγχος της τήρησης των αρχών αυτών εμπίπτει κατεξοχήν στην αρμοδιότητα της Εθνικής Επιτροπής<br />
Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) (άρθρο 6, παρ. 1 του Ν. 3431/2006) με την επιφύλαξη<br />
του άρ. 4, όπου αναφέρεται ότι ο Υπουργός Μεταφορών και Επικοινωνιών είναι αρμόδιος<br />
για «Τη χάραξη της πολιτικής επί της ασφάλειας των δημόσιων δικτύων και υπηρεσιών ηλεκτρονικών<br />
επικοινωνιών από κοινού με τους κατά περίπτωση συναρμόδιους Υπουργούς, σύμφωνα με τις<br />
διατάξεις της εθνικής και κοινοτικής νομοθεσίας.»<br />
Περαιτέρω, σύμφωνα με το Παράρτημα ΙΧ του νόμου περί Ηλεκτρονικών Επικοινωνιών (Ν.<br />
3431/2006), η Γενική Άδεια παροχής δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών που εκδίδει<br />
η ΕΕΤΤ, δύναται να συνοδεύεται μεταξύ άλλων από:<br />
α) όρους που εξασφαλίζουν τη διατήρηση της ακεραιότητας των δημόσιων δικτύων επικοινωνιών»<br />
(άρθρο 13 Παραρτήματος ΙΧ),<br />
β) κανόνες ασφάλειας δημόσιων δικτύων ηλεκτρονικών επικοινωνιών από μη επιτρεπόμενη πρόσβαση»<br />
(άρθρο 14 Παραρτήματος),<br />
γ) προδιαγραφές χρήσης ώστε σε περίπτωση μείζονος καταστροφής να εξασφαλίζεται η επικοινωνία<br />
των υπηρεσιών έκτακτης ανάγκης με τις δημόσιες αρχές» (άρθρο 10 του Παραρτήματος ΙΧ).<br />
Τους όρους και κανόνες αυτούς, σύμφωνα με τον ίδιο νόμο (Ν.3431/2006), τους προσδιορίζει η<br />
ΕΕΤΤ κατά την έκδοση του Κανονισμού Γενικών Αδειών παροχής δικτύων και υπηρεσιών ηλεκτρονικών<br />
επικοινωνιών.<br />
Όσον αφορά στα Δημόσια Τηλεφωνικά Δίκτυα σε σταθερές θέσεις, σύμφωνα με το άρθρο 57, παρ. 4<br />
του N. 3431/2006: Προκειμένου οι επιχειρήσεις που λειτουργούν δημόσια τηλεφωνικά δίκτυα σε<br />
σταθερές θέσεις να εξασφαλίζουν την ακεραιότητα του δικτύου και σε περίπτωση καταστροφικής<br />
βλάβης του δικτύου ή σε περίπτωση ανωτέρας βίας, τη διαθεσιμότητα του δημόσιου τηλεφωνικού δικτύου<br />
και των δημόσιων τηλεφωνικών υπηρεσιών σε σταθερές θέσεις, υποχρεούνται να λαμβάνουν<br />
όλα τα απαιτούμενα μέτρα. Οι επιχειρήσεις που παρέχουν δημόσιες τηλεφωνικές υπηρεσίες σε στα-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
94
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
θερές θέσεις υποχρεούνται να λαμβάνουν όλα τα απαραίτητα μέτρα για να διασφαλίζουν αδιάκοπη<br />
πρόσβαση σε υπηρεσίες έκτακτης ανάγκης. Προς υλοποίηση των ανωτέρω, η ΕΕΤΤ έχει τη δυνατοτητα<br />
να ζητά από τις επιχειρήσεις την παροχή σχετικών πληροφοριών και δύναται κατόπιν δημόσιας<br />
διαβούλευσης με τους φορείς να εισηγηθεί την υιοθέτηση κατάλληλων μέτρων τα οποία κρίνονται α-<br />
ναγκαία. Με κοινή απόφαση των Υπουργών Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης<br />
και Μεταφορών και Επικοινωνιών, κατόπιν εισήγησης της ΕΕΤΤ, καθορίζονται οι ελάχιστες υποχρεώσεις,<br />
προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις. Αρμόδιος φορέας για τον έλεγχο<br />
των επιχειρήσεων σχετικά με την τήρηση των ανωτέρω ελάχιστων υποχρεώσεων είναι η ΕΕΤΤ)<br />
Σύμφωνα με τα παραπάνω, οι υποχρεώσεις της ΕΕΤΤ αφορούν, αν αυτό κρίνεται απαραίτητο, τον<br />
καθορισμό των ελάχιστων υποχρεώσεων προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις,<br />
ώστε να:<br />
1. εξασφαλίζεται η ακεραιότητα των δημόσιων τηλεφωνικών δικτύων σε σταθερές θέσεις<br />
2. εξασφαλίζεται η διαθεσιμότητα του δημόσιου τηλεφωνικού δικτύου και των δημόσιων τηλεφωνικών<br />
υπηρεσιών σε σταθερές θέσεις σε περίπτωση καταστροφικής βλάβης του δικτύου ή ανωτέρας<br />
βίας<br />
3. διασφαλίζεται η αδιάκοπη πρόσβαση σε υπηρεσίες έκτακτης ανάγκης μέσω των δημόσιων τηλεφωνικών<br />
υπηρεσιών σε σταθερές θέσεις<br />
4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και<br />
Τεχνολογίας (GRNET-CERT)<br />
Το GRNET-CERT λειτουργεί στο πλαίσιο του Εθνικού Δικτύου Έρευνας και Τεχνολογίας (ΕΔΕΤ)<br />
που διασυνδέει τα Ελληνικά Πανεπιστήμια, Τεχνικά Εκπαιδευτικά Ιδρύματα και τα περισσότερα Ελληνικά<br />
Ερευνητικά Κέντρα. Οι στόχοι του GRNET-CERT είναι:<br />
1. Να αποκρίνεται σε περιστατικά ασφαλείας στον ελληνικό δικτυακό χώρο (.gr) με τεχνική βοήθεια<br />
και πληροφορίες για την επίλυση κάθε κατάστασης.<br />
2. Να παρέχει στους χρήστες του ΕΔΕΤ πληροφόρηση πάνω σε θέματα ασφαλείας και έγκυρες απαντήσεις<br />
πάνω σε συγκεκριμένα προβλήματα.<br />
3. Να κρατά μία γραμμή επικοινωνίας με άλλες Ευρωπαϊκές και Διεθνείς ομάδες που ασχολούνται<br />
με την αντιμετώπιση περιστατικών ασφαλείας.<br />
4. Να βοηθήσει με την εκπαίδευση των χρηστών σε θέματα ασφαλείας υπολογιστών και διαφύλαξης<br />
του προσωπικού απορρήτου.<br />
H ομάδα είναι μέλος του EuroCERT, του συνδέσμου των Ευρωπαϊκών Ομάδων Αντιμετώπισης Περιστατικών<br />
Ασφαλείας<br />
Το GRNET-CERT απευθύνεται στους χρήστες του ΕΔΕΤ και σε όσους ενδιαφέρονται για την αντιμετώπιση<br />
περιστατικών ασφαλείας και τη χρήση σχετικών εργαλείων, τα οποία αναπτύσσονται ή/και<br />
υποστηρίζονται από GRNET-CERT με open source λογισμικό.<br />
4.3.5 European Network <strong>Information</strong> <strong>Security</strong> Agency (ENISA)<br />
Ο ENISA είναι ένας νέος Ευρωπαϊκός οργανισμός που θα λειτουργεί κυρίως ως κέντρο εμπειρογνωμοσύνης<br />
για θέματα ασφάλειας δικτύων και πληροφοριών στην Ευρωπαϊκή Ένωση, παρέχοντας συμβουλευτικές<br />
υπηρεσίες για θέματα όπως το ηλεκτρονικό έγκλημα και μεθοδολογίες αποτίμησης επικινδυνότητας<br />
και πολιτικής ασφαλείας. Επίσης, θα εκπονεί ειδικές μελέτες σε εξειδικευμένα θέματα<br />
ασφαλείας, τις οποίες θα αναθέτει σε εξωτερικούς φορείς με διαγωνισμούς.<br />
Η σύσταση του ENISΑ έγινε στις 15-3-2004 στο Ηράκλειο της Κρήτης και η περίοδος λειτουργίας<br />
του θα είναι πέντε χρόνια σύμφωνα με το καταστατικό του. Η διοικητική του δομή απαρτίζεται από<br />
ένα Γενικό Διευθυντή και από Διοικητικό Συμβούλιο στο οποίο θα υπάρχει ένας εκπρόσωπος από<br />
κάθε χώρα μέλος της Ευρωπαϊκής Επιτροπής.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
95
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ο Οργανισμός συνδράμει την Επιτροπή και τα κράτη μέλη και, ως εκ τούτου, συνεργάζεται με την<br />
επιχειρηματική κοινότητα, για να τα βοηθάει να ανταποκρίνονται στις απαιτήσεις της ασφάλειας δικτύων<br />
και πληροφοριών, εξασφαλίζοντας έτσι την ομαλή λειτουργία της εσωτερικής αγοράς, περιλαμβανομένων<br />
των προβλεπόμενων από την ισχύουσα και μελλοντική κοινοτική νομοθεσία, όπως<br />
την Oδηγία 2000/21/ΕΚ.<br />
Οι στόχοι και τα καθήκοντα του Οργανισμού δεν θίγουν τις αρμοδιότητες των κρατών μελών στον<br />
τομέα της ασφάλειας δικτύων και πληροφοριών, οι οποίες δεν εμπίπτουν στο πεδίο εφαρμογής της<br />
συνθήκης ΕΚ, όπως τις αρμοδιότητες που υπάγονται στους τίτλους V και VI της συνθήκης για την<br />
Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, δεν θίγουν δραστηριότητες που αφορούν τη δημόσια α-<br />
σφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης της οικονομικής ευημερίας<br />
του κράτους, οσάκις πρόκειται για θέματα κρατικής ασφάλειας), καθώς και τις κρατικές δραστηριότητες<br />
στον τομέα του ποινικού δικαίου. Γενικά, ο ENISA:<br />
• Είναι ένα Κέντρο Αριστείας για τα Κράτη-Μέλη της ΕΕ και για τα Ευρωπαϊκά Ινστιτούτα όσον<br />
αφορά την Ασφάλεια Δικτύων και Πληροφοριών, προσφέροντας εξειδικευμένες συμβουλές και<br />
συστάσεις σε θέματα ασφαλείας Δικτύων και Πληροφοριών.<br />
• Λειτουργεί ως ένα κέντρο ανταλαγής και διάχυσης πληροφοριών για βέλτιστες πρακτικές.<br />
• Προωθεί επικοινωνία και συνεργασίας μεταξύ των Ευρωπαϊκών Ινστιτούτων, τα Κράτη-Μέλη<br />
και τον ιδιωτικό τομέα (επιχειρήσεις και βιομηχανίες).<br />
Έχει ως αφετηρία τις εθνικές και κοινοτικές προσπάθειες και, εκτελεί τα καθήκοντά του σε στενή<br />
συνεργασία με τα κράτη μέλη και να είναι ανοικτός στις επαφές με τον βιομηχανικό κλάδο και άλλους<br />
οικείους ενδιαφερόμενους. Δεδομένου ότι τα ηλεκτρονικά δίκτυα είναι, σε μεγάλο βαθμό, ιδιωτικά,<br />
βασίζεται στη συμβολή του ιδιωτικού τομέα και στη συνεργασία με αυτόν.<br />
Ο ENISA κατά την άσκηση των καθηκόντων του, δεν θα πρέπει να παρεμβαίνει στις αρμοδιότητες<br />
και να προλαμβάνει, να εμποδίζει ή να επικαλύπτει τις σχετικές αρμοδιότητες και τα καθήκοντα που<br />
έχουν ανατεθεί:<br />
• στις εθνικές ρυθμιστικές αρχές, όπως αυτές ορίζονται στις οδηγίες που αφορούν τα δίκτυα και τις<br />
υπηρεσίες ηλεκτρονικών επικοινωνιών, καθώς και στην ομάδα των ευρωπαϊκών ρυθμιστικών αρχών<br />
για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, που έχει συσταθεί με την απόφαση<br />
2002/627/ΕΚ της Επιτροπής(13) και στην επιτροπή επικοινωνιών που αναφέρεται στην οδηγία<br />
2002/21/ΕΚ,<br />
• στους ευρωπαϊκούς οργανισμούς τυποποίησης, τους εθνικούς οργανισμούς τυποποίησης και στη<br />
μόνιμη επιτροπή που συστάθηκε με την οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του<br />
Συμβουλίου, της 22ας Ιουνίου 1988, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον<br />
τομέα των τεχνικών προτύπων και προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της<br />
κοινωνίας των πληροφοριών(14),<br />
• στις εποπτικές αρχές των κρατών μελών που αφορούν την προστασία των ατόμων όσον αφορά<br />
την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη διακίνηση των δεδομένων<br />
αυτών.<br />
Ο ENISA δημιουργήθηκε με στόχο να βελτιώσει την δυνατότητα της ΕΕ, των ΚΜ και του επιχειρηματικού<br />
κόσμου για την πρόληψη, αντιμετώπιση και απόκριση προβλημάτων ασφάλειας δικτύων και<br />
πληροφοριών (βλ. Πίνακας 4).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
96
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Πίνακας 4: Στόχοι ENISA<br />
Υπό αυτή την έννοια, οι δραστηριότητας του Οργανισμού σχετίζονται με την παροχή συμβουλών και<br />
συστάσεων, με την ανάλυση δεδομένων, καθώς και υποστήριξη για την ενίσχυση της ενημέρωσης<br />
και συνεργασίας των σωμάτων της ΕΕ και των ΚΜ. Βάσει εθνικών και κοινοτικών προσπαθειών, ο<br />
Οργανισμός αποτελεί ένα Κέντρο Αριστείας στην περιοχή της Ασφάλειας των Δικτύων και των Πληροφοριών.<br />
Μεταξύ άλλων, ο Οργανισμός προσφέρει βοήθεια στην Κομμισιόν και στα ΚΜ κατά το διάλογό τους<br />
με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και λογισμικού. Ο Οργανισμός, επίσης,<br />
ακολουθεί την ανάπτυξη προτύπων, προωθεί ενέργειες για διαχείριση ρίσκου από τα ΚΜ, καθώς<br />
και για διαδικασίες διαχείρισης ρίσκου, και παράγει μελέτες για τα θέματα αυτά σε δημόσιους και<br />
ιδιωτικούς οργανισμούς.<br />
Σχήμα 17: Αρμοδιότητες ENISA<br />
Οι βασικές αρμοδιότητες του Οργανισμού είναι οι ακόλουθες (βλ. Σχήμα 17):<br />
• Παροχή συμβουλών και υποστήριξης στην ΕΕ και στα ΚΜ για την ασφάλεια πληροφοριών και<br />
κατά το διάλογό τους με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και<br />
λογισμικού.<br />
• Συλλογή και ανάλυση δεδομένων σχετικά με περιστατικά ασφαλείας στην Ευρώπη, καθώς και<br />
σχετικά με μελλοντικά ρίσκα.<br />
• Προώθηση μεθόδων αποτίμησης και διαχείρισης ρίσκου προκειμένου να βελτιώσει τη δυνατότητα<br />
αντιμετώπισης απειλών σε θέματα ασφάλειας πληροφοριών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
97
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ενίσχυση Επιπέδου Ενημέρωσης και συνεργασίας μεταξύ των διαφορετικών εμπλεκόμενων<br />
«παικτών» στον τομέα της ασφάλειας, ειδικότερα μέσω δημιουργίας Συμπράξεων Δημόσιου - Ι-<br />
διωτικού Τομέα (ΣΔΙΤ) στον τομέα αυτό.<br />
Πιο αναλυτικά, οι δραστηριότητες του ENISA είναι οι ακόλουθες:<br />
• συλλογή κατάλληλων πληροφοριών για την ανάλυση των υφιστάμενων, μελλοντικών και άμεσων<br />
κινδύνων, και ιδίως στο ευρωπαϊκό επίπεδο, των κινδύνων οι οποίοι θα μπορούσαν να έχουν<br />
επιπτώσεις στην ανθεκτικότητα και τη διαθεσιμότητα των δικτύων ηλεκτρονικών επικοινωνιών,<br />
καθώς και στην αυθεντικότητα, ακεραιότητα και εμπιστευτικότητα των πληροφοριών, οι οποίες<br />
είναι προσβάσιμες ή μεταφέρονται μέσω των εν λόγω δικτύων, και διαβίβαση των αποτελεσμάτων<br />
της ανάλυσης στα κράτη μέλη και την Επιτροπή.<br />
• παροχή συμβουλών και, όταν του ζητείται συνδρομής στο Ευρωπαϊκό Κοινοβούλιο, σε ευρωπαϊκούς<br />
φορείς ή σε αρμόδιους εθνικούς φορείς που ορίζουν τα κράτη μέλη, στο πλαίσιο των στοχων<br />
του.<br />
• ενίσχυση της συνεργασίας μεταξύ των διαφόρων παραγόντων που δραστηριοποιούνται στον τομέα<br />
της ασφάλειας δικτύων και πληροφοριών, μεταξύ άλλων με τη διοργάνωση τακτικών διαβουλεύσεων<br />
με τη βιομηχανία, τα πανεπιστήμια και άλλους ενδιαφερόμενους κλάδους, καθώς<br />
και με τη δημιουργία δικτύων επαφών για κοινοτικούς φορείς, φορείς του δημόσιου τομέα που ο-<br />
ρίζουν τα κράτη μέλη, φορείς του ιδιωτικού τομέα και οργανώσεις καταναλωτών.<br />
• διευκόλυνση της συνεργασίας μεταξύ της Επιτροπής και των κρατών μελών κατά την ανάπτυξη<br />
κοινών μεθοδολογιών πρόληψης, αντιμετώπισης και ανταπόκρισης σε ζητήματα ασφάλειας δικτύων<br />
και πληροφοριών.<br />
• συμβολή στην ευαισθητοποίηση και στη διαθεσιμότητα έγκαιρης, αντικειμενικής και συγκεντρωτικής<br />
πληροφόρησης όσον αφορά τα θέματα ασφάλειας δικτύων και πληροφοριών για όλους τους<br />
χρήστες, ιδίως μέσω της προώθησης των ανταλλαγών υπάρχουσας βέλτιστης πρακτικής, μεταξύ<br />
άλλων όσον αφορά τις μεθόδους προειδοποίησης των χρηστών, καθώς και επιδίωξη της συνέργειας<br />
μεταξύ πρωτοβουλιών του δημόσιου και του ιδιωτικού τομέα.<br />
• παροχή συνδρομής στην Επιτροπή και στα κράτη μέλη κατά τη διεξαγωγή του διαλόγου τους με<br />
τον κλάδο για την αντιμετώπιση προβλημάτων ασφάλειας όσον αφορά τα προϊόντα υλικού και<br />
λογισμικού.<br />
• παρακολούθηση της εξέλιξης των προτύπων για προϊόντα και υπηρεσίες που αφορούν την ασφάλεια<br />
των δικτύων και των πληροφοριών.<br />
• παροχή συμβουλών στην Επιτροπή σχετικά με την έρευνα στον τομέα της ασφάλειας των δικτύων<br />
και των πληροφοριών, καθώς επίσης και της αποτελεσματικής χρήσης των τεχνολογιών πρόληψης<br />
κινδύνων.<br />
• προώθηση των δραστηριοτήτων εκτίμησης κινδύνων, διαλειτουργικών λύσεων διαχείρισης κινδύνων<br />
και μελετών σχετικά με λύσεις διαχείρισης της πρόληψης εντός των οργανισμών του δημόσιου<br />
και του ιδιωτικού τομέα.<br />
• συμβολή στις κοινοτικές προσπάθειες συνεργασίας με τρίτες χώρες και, κατά περίπτωση, με διεθνείς<br />
οργανισμούς, με στόχο την προώθηση κοινής σφαιρικής προσέγγισης σε θέματα ασφάλειας<br />
δικτύων και πληροφοριών, συμβάλλοντας έτσι στη διάπλαση μιας αντίληψης για την ασφάλεια<br />
δικτύων και πληροφοριών.<br />
• ανεξάρτητη έκφραση των συμπερασμάτων, προσανατολισμών και συμβουλών του σχετικά με θέματα<br />
που άπτονται της εμβέλειας και των στόχων του.<br />
4.4 Ελληνικοί Φορείς/Ιστόχωροι ενημέρωσης<br />
Οι παρακάτω φορείς/ιστόχωροι ενημερώνουν τους πολίτες στα θέματα ασφάλειας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
98
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ)<br />
Ο ΕΦΤΑ δημιουργήθηκε από ιδιωτική πρωτοβουλία στα πρότυπα αντίστοιχων εθνικών οργανισμών<br />
άλλων χωρών, με σκοπό:<br />
1. Την ενημέρωση του πολίτη με στόχο την προστασία του από την τηλεπικοινωνιακή απάτη και το<br />
ηλεκτρονικό έγκλημα.<br />
2. Την προστασία των μελών του από το γενικότερο ηλεκτρονικό έγκλημα.<br />
3. Την ανταλλαγή πληροφοριών για τις μεθόδους με τις οποίες διενεργούνται τηλεπικοινωνιακές<br />
απάτες και την από κοινού λήψη μέτρων.<br />
4. Την ανταλλαγή πληροφοριών σχετικά με επιτήδειους, οι οποίοι χρησιμοποιώντας διάφορες μεθόδους<br />
χρεώνουν το καταναλωτικό κοινό και τις συνεργαζόμενες εταιρίες με τεράστια χρηματικά<br />
ποσά, αφού ληφθούν υπόψη οι περιορισμοί που θέτουν οι Νόμοι 2472/97 και 2774/99 για την<br />
προστασία δεδομένων προσωπικού χαρακτήρα.<br />
Μέλη του ΕΦΤΑ είναι οι υπηρεσίες πρόληψης και αντιμετώπισης της Τηλεπικοινωνιακής Απάτης<br />
και του Ηλεκτρονικού Εγκλήματος, εταιριών όπως COSMOTE, OTE, VODAFONE και WIND.<br />
Ο ΕΦΤΑ συνεργάζεται και με άλλους σχετικούς εθνικούς, Ευρωπαϊκούς και διεθνείς φορείς που α-<br />
σχολούνται με την καταπολέμηση της τηλεπικοινωνιακής απάτης και του ηλεκτρονικού εγκλήματος,<br />
όπως οι εξής: Διεθνής Ένωση Τηλεπικοινωνιών (ITU), FIINA (Forum for International Irregular Network<br />
Access), GSM Fraud Forum, ομάδα Fraud Control του ETNO (European Telecom Network O-<br />
perators Αssociation), European Institute for Research και Strategic Studies in Telecommunications,<br />
ΤUFF - Telecom UK Fraud Forum (Αγγλία), DFF - Deutsches Fraud Forum (Γερμανία), κλπ.<br />
Οι πολίτες και οι επιχειρήσεις μπορούν να έρθουν σε επαφή με τον ΕΦΤΑ για να ενημερωθούν ή να<br />
ζητήσουν υποστήριξη σε θέματα τηλεπικοινωνιακής απάτης. Παρά ταύτα, ο ΕΦΤΑ δεν έχει ελεγκτικό<br />
χαρακτήρα και ως εκ τούτου δεν μπορεί να επιβάλλει μέτρα ή κυρώσεις, παρά μόνο να προλαμβάνει<br />
και να καταγγέλλει τις απάτες. Για το λόγο αυτό είναι απαραίτητη η συνεργασία με άλλους εποπτικούς<br />
φορείς και ιδιαίτερα με την ΑΔΑΕ και την ΕΕΤΤ που ρυθμίζουν σχετικά θέματα στον τηλεπικοινωνιακό<br />
τομέα της χώρας.<br />
4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας<br />
Ο Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας είναι μη κερδοσκοπικό σωματείο<br />
και ιδρύθηκε το Μάρτιο του 1995. Εκπροσωπεί 400 επιχειρήσεις που αντιπροσωπεύουν περίπου<br />
το 95% του συνολικού κύκλου εργασιών της εγχώριας αγοράς Τεχνολογιών Πληροφορικής.<br />
Σκοποί του ΣΕΠΕ είναι η διαφύλαξη και η προώθηση των κοινών συμφερόντων των επιχειρήσεων -<br />
μελών του και γενικότερα του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών.<br />
Ειδικότεροι σκοποί του Συνδέσμου είναι:<br />
• Να προβαίνει σε οποιαδήποτε ενέργεια που συμβάλει στη σύσφιξη των σχέσεων των οργανισμών<br />
του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών με την Πολιτεία και άλλους φορείς<br />
της δημόσιας ζωής με σκοπό τη διάδοση, ανάπτυξη και την προώθηση των Τεχνολογιών Πληροφορικής<br />
και Επικοινωνιώνστην Ελλάδα.<br />
• Να συμβάλλει στην ποιοτική αναβάθμιση των προϊόντων και υπηρεσιών Τεχνολογιών Πληροφορικής<br />
και Επικοινωνιών.<br />
• Να συνεργάζεται με τους αρμόδιους φορείς για τη διαμόρφωση Εθνικής Στρατηγικής για την Ψηφιακή<br />
Τεχνολογία.<br />
• Να σχεδιάζει και να υποστηρίζει προγράμματα ειδικά για τις ανάγκες των Μικρομεσαίων Επιχειρήσεων<br />
για την αύξηση της ανταγωνιστικότητας τους στην Ελληνική αγορά.<br />
• Να συμβάλλει στην έρευνα για την ανάπτυξη σε όλους τους τομείς των Τεχνολογιών Πληροφορικής<br />
και Επικοινωνιών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
99
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Να αποτελεί συντονιστικό όργανο και χώρο ανταλλαγής απόψεων ανάμεσα στα μέλη του και<br />
ταυτόχρονα αντιπροσωπευτικό συλλογικό όργανο των Ελληνικών Επιχειρήσεων Τεχνολογιών<br />
Πληροφορικής και Επικοινωνιών για την καλύτερη προβολή των θέσεων τους προς τους κρατικούς<br />
φορείς, τους θεσμικούς παράγοντες, την Ευρωπαϊκή Ένωση, τα ΜΜΕ, το ευρύ κοινό, κ.ά.<br />
• Να προωθήσει, να ενθαρρύνει, να ενισχύει και να προστατεύει τη σύσταση και τη λειτουργία των<br />
Επιχειρήσεων του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών.<br />
• Να ενθαρρύνει τη συνεργασία μεταξύ των Πανεπιστημιακών και Τεχνολογικών Ιδρυμάτων και<br />
φορέων του κλάδου.<br />
4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus<br />
Ο Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus και η εκστρατεία επαγρύπνησης και<br />
ενημέρωσης για ασφαλέστερο Διαδίκτυο Safer Internet υλοποιούνται υπό την αιγίδα της Ευρωπαϊκής<br />
Επιτροπής και του προγράμματος πλαισίου Safer Internet Plus. Στόχος της εκστρατείας Safer Internet<br />
είναι να επαγρυπνήσει όλους τους Έλληνες και να τους ενημερώσει για τους τρόπους με τους οποίους<br />
μπορούν να προστατευθούν αλλά και να προστατεύσουν αποτελεσματικά τα παιδιά τους από τους<br />
κινδύνους που εγκυμονούν στις νέες διαδραστικές τεχνολογίες, όπως είναι το διαδίκτυο ή το κινητό<br />
τηλέφωνο. Αυτό επιτυγχάνεται με την υλοποίηση πλειάδας πολυμορφικών εκδηλώσεων και δράσεων<br />
που δρομολογούνται σε διετή βάση. Οι δράσεις εναρμονίζονται με τα αποτελέσματα των ερευνών<br />
του Ευρωβαρόμετρου όπως και Εθνικών ερευνών που αφορούν το διαδίκτυο και την κινητή τηλεφωνία,<br />
τη γνώση ή άγνοια των κινδύνων και τη σωστή χρήση του, έτσι ώστε οι ενέργειες που υλοποιούνται<br />
να έχουν το μέγιστο αποτέλεσμα. Υπάρχει συνεργασία με 25 Εθνικούς Κόμβους, όπου ανταλλάσσουν<br />
απόψεις, εμπειρίες, βέλτιστες πρακτικές και πληροφοριακό υλικό. Η συνεργασία των Εθνικών<br />
κόμβων οργανώνεται μέσω του Insafe (Internet Safety Awareness for Europe).<br />
4.4.4 SafeLine<br />
Ο πρωταρχικός ρόλος της SafeLine είναι να παρέχει ένα σημείο επικοινωνίας για τους χρήστες που<br />
επιθυμούν την ποινική δίωξη και την αφαίρεση από το Ίντερνετ παράνομου ή επιβλαβούς περιεχομενου.<br />
Η SafeLine δέχεται καταγγελίες για περιεχόμενο που συναντάται στο Internet και το οποίο θεωρείται<br />
παράνομο ή επιβλαβές. Τα μέλη της SafeLine θα εξετάσουν την καταγγελία σας και θα κάνουν<br />
ενέργειες για την αναφορά της καταγγελίας στις αρχές για περαιτέρω επεξεργασία. Ό χρήστης που<br />
κατέθεσε μια καταγγελία θα μπορεί να πληροφορηθεί για το αποτέλεσμα της, μόλις αυτό είναι επιτρεπτό.<br />
Αν κάποιος χρήστης το επιθυμεί μπορεί να κρατήσει την ανωνυμία του. Τα στοιχεία των<br />
χρηστών που καταθέτουν καταγγελίες είναι εμπιστευτικά.<br />
Η SafeLine φιλοδοξεί να αποτελέσει σημείο αναφοράς για χρήστες που επιθυμούν να προστατέψουν<br />
τους εαυτούς τους καθώς και τις οικογένειες του από παράνομο ή επιβλαβές περιεχόμενο του Internet.<br />
Γι αυτό τον σκοπό, η ιστοσελίδα της SafeLine περιλαμβάνει συμβουλές για γονείς και παιδιά,<br />
καθώς και μια λίστα από συνήθεις ερωτήσεις με σκοπό να πληροφορήσει με απλό τρόπο τον χρήστη<br />
για διαδικαστικά, νομικά καθώς και τεχνολογικά θέματα που σχετίζονται με την ασφάλεια στο Internet.<br />
Τεχνολογικά θέματα περιλαμβάνουν την ύπαρξη φίλτρων λογισμικού που φράζουν σελίδες του<br />
Internet με επιβλαβές περιεχόμενο.<br />
4.4.5 DART (Digital Awareness and Response to Threats)<br />
Στο πλαίσιο της Ψηφιακής Ελλάδας έχει δημιουργηθεί η «Ομάδα Δράσης για την Ψηφιακή Ασφάλεια»,<br />
η οποία ασχολείται ειδικά με την Ψηφιακή Ασφάλεια, και έχει ως στόχο την ενίσχυση της εμπιστοσύνης<br />
του κοινού των χρηστών στα νέα μέσα. Η ομάδα έχει την ονομασία DART (Digital A-<br />
wareness and Response to Threats).<br />
Άμεσος στόχος της ομάδας είναι η ενημέρωση των πολιτών, η πρόληψη αλλά και η αντιμετώπιση<br />
κινδύνων που σχετίζονται με τις νέες τεχνολογίες πληροφορικής και ηλεκτρονικών επικοινωνιών. Η<br />
προσπάθεια έχει στόχο να ενώσει τις δυνάμεις των αρμόδιων φορέων, να συντονίσει τα μηνύματα, τις<br />
προσλαμβάνουσες καθώς και να ενδυναμώσει την εμπιστοσύνη των πολιτών στο γρήγορο Internet. H<br />
εξοικείωση των πολιτών με τις νέες τεχνολογίες και η ενίσχυση της εμπιστοσύνης στις δυνατότητές<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
100
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
τους, θα απελευθερώσει τις υγιείς δυνάμεις και θα δώσει ώθηση στην Ψηφιακή Ελλάδα. Ο ιστοχώρος<br />
αυτός έχει δημιουργηθεί με σκοπό να παρέχει οδηγίες και συμβουλές σχετικές με την σωστή, ασφαλή<br />
και ηθική χρήση του Διαδικτύου και των άλλων διαδραστικών τεχνολογιών. Μέσα από τον ιστοχώρο<br />
παρουσιάζονται τα θέματα που αυτή τη στιγμή απασχολούν όλον τον κόσμο σχετικά με παράνομο<br />
και επιβλαβές περιεχόμενο στους εικονικούς κόσμους, καθώς και τρόποι πρόληψης και προστασίας.<br />
Ο χρήστης δηλαδή μπορεί να ενημερώνεται για τον τρόπο που μπορεί να αντιμετωπίσει τυχόν κινδύνους<br />
μέσα από το Διαδίκτυο.<br />
4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α)<br />
Το KE.ME.A. ιδρύθηκε τον Σεπτέμβριο του 2005 με το Νόμο 3387/2005 (ΦΕΚ 224,Α΄) και αποτελεί<br />
τον Επιστημονικό, Ερευνητικό και Συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα<br />
της Πολιτικής Ασφάλειας.<br />
• Αποτελεί νομικό πρόσωπο ιδιωτικού δικαίου και εποπτεύεται από τον Υπουργό Εσωτερικών.<br />
• Λειτουργεί ως συμβουλευτικός φορέας του Υπουργείου Εσωτερικών στον τομέα ασφάλειας. Η<br />
αποστολή του είναι να διεξάγει θεωρητικές και εφαρμοσμένες έρευνες, να εκπονεί μελέτες και να<br />
παρέχει στρατηγική ανάλυση, αξιολόγηση και εκτίμηση σε θέματα ασφάλειας.<br />
• Υποστηρίζει το Υπουργείο Εσωτερικών και τους Φορείς και Υπηρεσίες που αυτό εποπτεύει,<br />
παρέχοντας υποστήριξη στη χάραξη εθνικής πολιτικής ασφάλειας.<br />
• Παρέχει ανάλυση σε θέματα εσωτερικής ασφάλειας, πιθανών απειλών ασφαλείας, σχετικών<br />
διεθνών εξελίξεων καθώς και στο σχεδιασμό έκτακτης ανάγκης.<br />
• Συνιστά τον κύριο ερευνητικό φορέα και εθνικό συντονιστή υπό την επίβλεψη του Υπουργείου<br />
Εσωτερικών, αναφορικά με προτάσεις διεθνούς συνεργασίας σε θέματα ασφάλειας.<br />
• Διοικητικά όργανα του ΚΕ.ΜΕ.Α. είναι:<br />
• Το Διοικητικό Συμβούλιο, ο Διευθυντής και ο Αναπληρωτής Διευθυντής, υποστηριζόμενοι από<br />
το Επιστημονικό Συμβούλιο.<br />
• Το ΚΕ.ΜΕ.Α. διαρθρώνεται στους τομείς:<br />
• Μελετών-Ερευνών και Τεκμηρίωσης.<br />
• Αντεγκληματικής Πολιτικής.<br />
• Διεθνούς Συνεργασίας και Επικοινωνίας.<br />
• Τεχνολογίας και Συστημάτων.<br />
• Στελεχώνεται από προσωπικό προερχόμενο από Φορείς και Υπηρεσίες του Υπουργείου Εσωτερικών<br />
και του λοιπού Δημόσιου Τομέα, καθώς και εξειδικευμένους ερευνητές και ειδικούς επιστημονες.<br />
4.4.6.1 Αποστολή<br />
Το KE.ME.A. ως επιστημονικό και ανεξάρτητο ερευνητικό και συμβουλευτικό Κέντρο, έχει αποστολή:<br />
• Τη διεξαγωγή ερευνητικών προγραμμάτων και μελετών για θέματα εσωτερικής ασφάλειας που<br />
αφορούν το Υπουργείο Εσωτερικών και τις Υπηρεσίες που υπάγονται σε αυτό, καθώς και άλλους<br />
Φορείς του εσωτερικού.<br />
• Την εκπόνηση και εκτέλεση ερευνητικών προγραμμάτων για λογαριασμό ή σε συνεργασία με<br />
αντίστοιχους Φορείς της Ε.Ε. και άλλων Διεθνών Οργανισμών.<br />
• Την ανάπτυξη συνεργασιών σε εθνικό και διεθνές επίπεδο με Οργανισμούς και Υπηρεσίες, Ερευνητικά<br />
και Εκπαιδευτικά Κέντρα και Ιδρύματα, κοινωνικούς, επιστημονικούς και παραγωγικούς<br />
Φορείς, δημόσιους και ιδιωτικούς, καθώς και με μη Κυβερνητικές Οργανώσεις.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
101
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Την εκπόνηση μελετών σχετικά με την εγκληματικότητα στην ελληνική Επικράτεια και τις ποιοτικές<br />
και ποσοτικές μεταβολές της καθώς και τις μεθόδους και πρακτικές άσκησης αντεγκληματικής<br />
πολιτικής.<br />
• Την κατάθεση προτάσεων για την εναρμόνιση των μέτρων πρόληψης και καταστολής του εγκλήματος<br />
με τις Συνταγματικές Αρχές, τα ατομικά και πολιτικά δικαιώματα, τη νομιμότητα και το<br />
σεβασμό της αξίας του ανθρώπου.<br />
• Την παρακολούθηση και μελέτη των τεχνολογικών εξελίξεων, των συστημάτων ασφαλείας και<br />
αξιολόγηση των νέων τεχνολογικών επιτευγμάτων.<br />
• Την ανταλλαγή τεχνογνωσίας διεθνώς τόσο σε διμερές όσο και σε πολυμερές επίπεδο.<br />
• Την υποστήριξη διασυνοριακών συνεργασιών.<br />
• Την οργάνωση συνεδρίων και εκπαιδευτικών σεμιναρίων.<br />
• Τη δημοσίευση ερευνητικών και επιστημονικών πορισμάτων και έργων.<br />
Tο ΚΕ.ΜΕ.Α συμμετέχει σε διάφορα φόρα, επιτροπές και ομάδες εργασίας της Ευρωπαϊκής Επιτροπής<br />
παρακολουθώντας τις εξελίξεις και τα δρώμενα σχετικά με τη Ευρωπαϊκή Πολιτική Ασφάλειας<br />
καθώς και την εξέλιξη της Έρευνας και Τεχνολογίας στο πλαίσιο των Ευρωπαϊκών Ερευνητικών<br />
Προγραμμάτων:<br />
• Στον «Ευρωπαϊκό Οργανισμό για την Ασφάλεια» - European Organization for <strong>Security</strong>- EOS.<br />
• Στο «Ευρωπαϊκό Φόρουμ για την Έρευνα και την Καινοτομία στον Τομέα της Ασφάλειας» – European<br />
<strong>Security</strong> Research and Innovation Forum - ESRIF.<br />
Το ΚΕΜΕΑ έχει συμμετάσχει το έτος 2007 και χρηματοδοτηθεί για την υλοποίηση Ευρωπαϊκών Ε-<br />
ρευνητικών Προγραμμάτων στο πλαίσιο των χρηματοδοτούμενων ερευνητικών προγραμμάτων στο<br />
τομέα της Ασφάλειας του 7ο Πλαισίου της Ευρωπαϊκής Ένωσης (7 th Framework Program).<br />
4.4.7 Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιοανατολικής<br />
Ευρώπης (ΙΝΑ)<br />
Το Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιοανατολικής Ευρώπης<br />
(ΙΝΑ) δραστηριοποιείται στους χώρους της έρευνας για θέματα της Κοινωνίας της Πληροφορίας,<br />
της μεταφοράς και διάχυσης της σχετικής τεχνογνωσίας, αλλά και της αξιοποίησης καινοτόμων<br />
εργαλείων στην αγορά των Τηλεπικοινωνιών και της Πληροφορικής. Το ΙΝΑ αποτελεί έναν επιστημονικό<br />
πυρήνα που μελετά, αναλύει και προσεγγίζει επιστημονικά τις εξελίξεις στην αγορά των τηλεπικοινωνιών<br />
των χωρών της Νοτιοανατολικής Ευρώπης, αλλά και της ευρύτερης περιοχής, υποστηρίζοντας<br />
το έργο των εμπλεκόμενων κρατικών και ιδιωτικών φορέων στη δημιουργία υποδομών, αλλά<br />
και ανθρώπινων ηλεκτρονικών δικτύων αριστείας στις τηλεπικοινωνίες και στην πληροφορική.<br />
Το ΙΝΑ συστάθηκε το Δεκέμβριο του 2000 με πρωτοβουλία του Συνδέσμου Βιομηχάνων Βορείου<br />
Ελλάδας (ΣΒΒΕ) και με τη συμμετοχή σημαντικών εταιρειών Tηλεπικοινωνιών και Πληροφορικής<br />
της Νοτιοανατολικής Ευρώπης. Η αιτιολογική βάση δημιουργίας του ΙΝΑ αφορά την ανάγκη προσέγγισης<br />
της αγοράς Τηλεπικοινωνιών και Πληροφορικής των χωρών της Νοτιοανατολικής Ευρώπης<br />
ως μια ενιαία αγορά, η οποία χαρακτηρίζεται από ανομοιογένεια, ανισότητες και διαφοροποίηση θεσμικών<br />
πλαισίων. Η ίδρυσή του αποτελεί σημαντικό επίτευγμα για την Ελλάδα, ιδιαίτερα εάν ληφθεί<br />
υπόψη ότι είναι το μοναδικό Ινστιτούτο ιδιωτικής πρωτοβουλίας διεθνούς εμβέλειας στην Ελλάδα.<br />
Το ΙΝΑ δραστηριοποιείται στα πλαίσια περιφερειακών πρωτοβουλιών όπως το Regioanl Cooperation<br />
Council (που διαδέχθηκε το Σύμφωνο Σταθερότητας για τη ΝΑ Ευρώπη και τη Διαδικασία Συνεργασίας<br />
Χωρών Νοτιοανατολικής Ευρώπης – SEECP) και την Πρωτοβουλία Συνεργασίας ΝΑ Ευρώπης<br />
(SECI), αλλά και διεθνών οργανισμών όπως η Διεθνής Ένωση Τηλεπικοινωνιών (ITU). Ο ρόλος του<br />
ΙΝΑ έχει κατεξοχήν χαρακτηριστικά εξυπηρέτησης της περιφερειακής ανάπτυξης και συνεργασίας,<br />
υπό την έννοια ότι υποστηρίζει έμπρακτα την εναρμόνιση των πολιτικών και των δράσεων στην ευρύτερη<br />
περιοχή της Νοτιοανατολικής Ευρώπης, ώστε να συγκλίνουν με τα Ευρωπαϊκά δεδομένα στις<br />
Τηλεπικοινωνίες και στην Πληροφορική. Απώτερος στόχος της προσπάθειας αυτής είναι η ταχύτερη<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
102
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
οικονομική και κοινωνική ανάπτυξη των χωρών της περιοχής προς όφελος της σταθερότητας, της<br />
ευημερίας και της ειρήνης στα Βαλκάνια, μέσω της αξιοποίησης των ΤΠΕ, την ανάπτυξη της Κοινωνίας<br />
της Πληροφορίας και του ξεπεράσματος του ψηφιακού χάσματος.<br />
Προς αυτή την κατεύθυνση, το ΙΝΑ συνεργάζεται στενά με το Υπουργείο Εξωτερικών, το Υπουργείο<br />
Μεταφορών και Επικοινωνιών και την Εθνική Επιτροπή Τηλεπικοικωνιών και Ταχυδρομείων (ΕΕ-<br />
ΤΤ). Επιπρόσθετα, το ΙΝΑ έχει δημιουργήσει ένα ανθρώπινο δίκτυο από εκπροσώπους φορέων Ρυθμιστικών<br />
Αρχών, Υπουργείων και Τηλεπικοινωνιακών Οργανισμών στη Νοτιοανατολική Ευρώπη, το<br />
οποίο συναντάται περιοδικά για ανταλλαγή απόψεων και χάραξη κοινής στρατηγικής. Οι δραστηριότητες<br />
του ΙΝΑ περιλαμβάνουν την έρευνα και ανάλυση των τεχνολογιών που συνθέτουν την αγορά<br />
Τηλεπικοινωνιών και Πληροφορικής, την αποτύπωση της υφιστάμενης τηλεπικοινωνιακής υποδομής,<br />
τη διερεύνηση της ζήτησης υπηρεσιών ΤΠΕ και τον εντοπισμό επενδυτικών ευκαιριών στον κλάδο<br />
Τηλεπικοινωνιών/Πληροφορικής στην ευρύτερη γεωγραφική περιοχή που περιβάλλει την Ελλάδα.<br />
Το ΙΝΑ διαθέτει πλέον μεγάλη εμπειρία στη διοργάνωση συναντήσεων εργασίας, προγραμμάτων κατάρτισης,<br />
επιστημονικών ημερίδων, συνεδρίων σε θεματικές περιοχές του κλάδου Τηλεπικοινωνιών<br />
και Πληροφορικής.<br />
Στρατηγικός στόχος του ΙΝΑ είναι η υποστήριξη της πολιτκής μεταρρύθμισης και της διαδικασίας<br />
χάραξης νέας στρατηγικήε στον τομέα ΤΠΕ των χωρών της περιοχής και έχει συνεργαστεί προς αυτή<br />
την κατεύθυνση με διεθνείς οργανισμούς, όπως το UNDP και η Ευρωπαϊκή Επιτροπή. Ενδεικτικά α-<br />
ναφέρεται ότι το ΙΝΑ συνέθεσε ένα πλήρες σύνολο προτάσεων/συστάσεων στον Τομέα της Έρευνας<br />
και Τεχνολογικής Ανάπτυξης σε ΤΠΕ για έντεκα (11) χώρες της Ανατολικής Ευρώπης στο πλαίσιο<br />
του έργου GREAT-IST στο πεδίο της διεθνούς συνεργασίας. Για τον ίδιο σκοπό το ΙΝΑ συμμετείχε<br />
ως ιδρυτικό μέλος στη δημιουργία του Περιφερειακού Κέντρου Ανάπτυξης ηλεκτρονικής διακυβέρνησης<br />
(Center for eGovernance Development – CeGD), με πρωτοβουλία του Συμφώνου Σταθερότητας<br />
για τη ΝΑΕ, του οποίου το συντονιστικό γραφείο έχει έδρα τη Σλοβενία.<br />
Τέλος, τα τελευταία χρόνια το ΙΝΑ έχει εστιάσει την προσοχή του στον τομέα της ηλεκτρονικής α-<br />
σφάλειας, με σταθερή πεποίθηση ότι η προώθησή της είναι κρίσιμη για την εγκαθίδρυση της ψηφιακής<br />
εποχής σε παγκόσμιο επίπεδο. Το Νοέμβριο του 2008 διοργανώνει ετήσιο συνέδριο για την ηλεκτρονική<br />
ασφάλεια (4 th Electronic <strong>Security</strong> Forum) στη Θεσσαλονίκη. Το ΙΝΑ έχει προετοιμάσει την<br />
εκκίνηση μας νέας πρωτοβουλίας που αποσκοπεί στη δημιουργία ενός «Περιφερειακού δικτύου ηλεκτρονικής<br />
ασφάλειας για τη ΝΑ Ευρώπη» που θα αναπτύξει αποκεντρωμένες δραστηριότητες μεσω<br />
εθνικών κέντρων στις χώρες της περιοχής, οι οποίοι θα υποστηρίζονται από τους τοπικούς κόμβους<br />
της Ακαδημίας ΙΝΑ, σε μια προσπάθεια να αμβλυνθούν οι κίνδυνοι που οφείλονται στην ύπαρξη<br />
μιας ‘χαλαρής’ αντίληψης για την ηλεκτρονική ασφάλεια στην περιοχή. Το δίκτυο στοχεύει και επιδικώκει<br />
την προώθηση καλών πρακτικών, τεχνογνωσίας και πολιτικής σε ζητήματα όπως η ανάπτυξη<br />
ομάδων αντιμετώπισης ηλεκτρονικών απειλών (CERT), η ενημέρωση του κοινού για ασφαλή πλοήγηση<br />
στο Διαδίκτυο και ασφαλείς ηλεκτρονικές συναλλαγές, η εξάλειψη παράνομου περιεχομενου<br />
και η προστασία των δικαιωμάτων της πνευματικής ιδιοκτησίας.<br />
4.5 Συγκεντρωτική παρουσίαση φορέων<br />
Ο Πίνακας 6 παρουσιάζει συγκεντρωτικά και συγκριτικά τους φορείς που αναφέρθηκαν παραπάνω<br />
ως προς τους ρόλους τους και τις παρεχόμενες υπηρεσίες στον τομέα της ασφάλειας πληροφοριακών<br />
συστημάτων. Σημειώνεται ότι το αντικείμενο και ο ρόλος των φορέων στον Πίνακας 6 αναφέρεται<br />
ως προς την ασφάλεια πληροφοριών και όχι ως προς τις συνολικές τους αρμοδιότητες που ενδέχεται<br />
να είναι πολλαπλές.<br />
Όπως φαίνεται στον δεύτερο πινακα (Πίνακας 5), ρυθμιστικοί/ελεγκτικοί/συμβουλευτικοί φορείς α-<br />
σφάλειας είναι οι ΑΠΠΔ, ΑΔΑΕ και ΕΕΤΤ, ενώ τον εποπτικό και κανονιστικό ρόλο ειδικά για τις<br />
δημόσιες υπηρεσίες διαδραματίζουν το ΓΕΕΘΑ και η ΕΥΠ. Η ΕΛΑΣ ασχολείται με θέματα εξακρίβωσης<br />
και πρόληψης ηλεκτρονικών εγκλημάτων (computer forensics). Ο ΕΦΤΑ αποτελεί ιδιωτική<br />
πρωτοβουλία για την πρόληψη της τηλεπικοινωνιακής απάτης, ενώ το GRNET παρέχει freeware<br />
προϊόντα και υπηρεσίες αςφαλείας. Τέλος το ΚΕΜΕΑ αποτελεί τον επιστημονικό, ερευνητικό και<br />
συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα της Πολιτικής Ασφάλειας ενώ το<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
103
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΙΝΑ προωθεί πρωτοβουλίες (καλές πρακτικές, τεχνογνωσία, πολιτικές) σε θέματα ηλεκτρονικής α-<br />
σφάλειας στη ΝΑ Ευρώπη.<br />
Ρόλοι<br />
Φορέας Πεδίο δράσης Ρυθμίσεις,<br />
κανονισμοί<br />
ΑΠΔΠΧ<br />
ΑΔΑΕ<br />
ΕΕΤΤ<br />
ΕΦΤΑ<br />
GRNET<br />
ΚΕΜΕΑ<br />
ΙΝΑ<br />
Προστασία προσωπικών<br />
δεδομενων<br />
Προστασία<br />
απορρήτου επικοινωνιών<br />
Ρύθμιση θεμάτων<br />
τηλεπικοινωνιών<br />
και ταχυδρομείων<br />
Πρόληψη τηλεπικοινωνιακής<br />
απάτης<br />
Προϊόντα και υ-<br />
πηρεσίες ασφάλειας<br />
συστημάτων<br />
Συμβουλευτικές<br />
υπηρεσίες πολιτικής<br />
ασφάλειας<br />
Προώθηση πρωτοβουλιών<br />
ηλεκτρονικής<br />
ασφάλειας<br />
Έλεγχοι<br />
εφαρμογής<br />
θεσμικού<br />
πλαισίου<br />
Παροχή<br />
προϊόντωνυποδομών<br />
ασφαλείας<br />
Πιστοποίηση<br />
προϊόντων και<br />
υπηρεσιών<br />
ασφαλείας<br />
Χ Χ Χ<br />
Χ Χ Χ<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Συμβουλευτικές<br />
υπηρεσίες<br />
ασφάλειας<br />
Χ<br />
Χ<br />
Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί/Συμβουλευτικοί Φορείς Ασφάλειας<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
104
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ρόλοι<br />
Φορέας<br />
Πεδίο δράσης<br />
Ειδικές Αρχές<br />
Ασφάλειας<br />
Ρυθμίσεις<br />
και<br />
κανονισμοί<br />
Έλεγχοι<br />
εφαρμογής<br />
θεσμικού<br />
πλαισίου<br />
Computer<br />
Forensics<br />
Πιστοποίηση<br />
προϊόντων και<br />
υπηρεσιών<br />
ασφαλείας<br />
ΓΕΕΘΑ<br />
Έκδοση εθνικών<br />
κανονισμών ασφαλείας<br />
ΣΥΖΕΥΞΙΣ ΑΠ<br />
Χ<br />
ΕΥΠ<br />
Ασφάλεια Εθνικών Ε-<br />
πικοινωνιών και Πληροφορικής<br />
Κανονισμοί και Πιστοποίηση<br />
συστημάτων<br />
INFOSEC<br />
CERT για ΔΔ<br />
Χ<br />
Χ<br />
ΕΛΑΣ<br />
Εξέταση ψηφιακών<br />
πειστηρίων<br />
Ηλεκτρονικό έγκλημα<br />
Χ<br />
ΥΜΕ<br />
Χάραξη Πολιτικής<br />
Ασφάλειας<br />
Χ<br />
ΤΡΑΠΕΖΑ<br />
ΕΛΛΑΔΟΣ<br />
Δ/νση<br />
ΠΣΕΑ<br />
ΥΠΕΣ<br />
Έκδοση αρχών και κανονισμών<br />
ασφάλειας Χ Χ<br />
Σχέδια επικινδυνότητας<br />
και επιχειρησιακής<br />
συνέχειας Χ Χ<br />
Υ.Α.Π./<br />
ΥΠΕΣ<br />
Διαθεσιμότητα πληροφοριών<br />
σε ΔΔ<br />
Σχέδια ανάκαμψης από<br />
καταστροφές<br />
ΑΠΕΔ<br />
Χ<br />
τ. ΥΔΤ ΣΥΖΕΥΞΙΣ ΑΠ<br />
ΥΠΕΣ<br />
Υπ.<br />
ΥΓΕΙΑΣ<br />
ΣΥΖΕΥΞΙΣ ΑΠ<br />
ΣΥΖΕΥΞΙΣ ΑΠ<br />
ΥΠΟΙΟ ΣΥΖΕΥΞΙΣ ΑΠ Χ Χ<br />
Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
105
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5<br />
Κρίσιμες Πληροφοριακές και<br />
Επικοινωνιακές Υποδομές της<br />
Ελληνικής Δημόσιας Διοίκησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
106
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5. Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της<br />
Ελληνικής Δημόσιας Διοίκησης<br />
5.1 Αξιολόγηση Κρισιμότητας Πληροφοριακών και Επικοινωνιακών Υποδομών<br />
της Δημόσιας Διοίκησης<br />
5.1.1 Σκοπός<br />
Σκοπός του παρόντος κεφαλαίου είναι η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ), ως<br />
προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγηση.<br />
Η παρούσα είναι μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει να καταστεί δυνατή η<br />
δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας).<br />
Μια αναλυτικότερη και ακριβέστερη προσέγγιση, συνοδευόμενη με βαθμονόμηση κρίσιμων<br />
ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μεταγενέστερο έργο.<br />
Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύριοι<br />
παράγοντες που την προσδιορίζουν (απειλές, τρωτοτητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι<br />
απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας<br />
και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπισμός<br />
τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως είναι<br />
ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου.<br />
5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας<br />
Για την αξιολόγηση (και την ενδεχόμενη μετέπειτα διαβάθμιση) της κρισιμότητας μιας υποδομής ή ε-<br />
νός στοιχείου αυτής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της υποδομής ή των υπό αξιολόγηση<br />
στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται ως συνάρτηση των εξής<br />
τριών παραγόντων 53 : (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επίπτωση), όπου ο τελεστής ◊<br />
είναι ένας γενικευμένος πολλαπλασιαστής.<br />
Η επικινδυνότητα αποτελεί εύλογο (αλλά όχι μοναδικό ή κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας<br />
(criticality) μιας υποδομής. Ωστόσο, υπάρχουν συγκεκριμενες δυσκολίες, τόσο θεωρητικές,<br />
όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας.<br />
Ενδεικτικά αναφέρονται οι εξής:<br />
• Δυσχέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης,<br />
αλλά εξαιρετικά σημαντικών επιπτώσεων. Σε αυτά ανήκουν και οι ανθρωπογενείς απειλές (πχ.<br />
ειδικές επιθέσεις βίας).<br />
• Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων και υποδομών<br />
(όπως των ΠΕΥ).<br />
• Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις.<br />
Αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις οποίες εξαρτώνται άλλες σημαντικές<br />
υποδομές (ενέργεια, μεταφορά, υγεία κλπ.).<br />
• Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων.<br />
53<br />
Η χρήση μοντέλων όπως αυτό που περιγράφεται από την ως άνω εξίσωση, καθώς και η εκτίμηση των παραγόντων που<br />
υπεισέρχονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis<br />
and Management, Threat Estimation, Vulnerability Assessment, Impact Analysis, System Reliability, καθώς και σε άλλες<br />
συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμένες σε συγκεκριμένα συστηματα ή περιοχές εφαρμογής.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
107
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. επιπέδου εμπιστοσύνης, ψυχολογικών<br />
επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων των χρηστών ή του ευρύτερου<br />
κοινωνικού συνόλου κλπ.).<br />
Στην περίπτωση των ΠΕΥ αντιμετωπίζουμε, ακόμη, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής<br />
των υπηρεσιών (διαθεσιμότητας, ακεραιότητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων<br />
ανακύπτει και το πώς θα εκτιμηθούν οι επιπτώσεις της περιορισμένης διαθεσιμότητας (δηλαδή της<br />
“μη εύλογης” καθυστέρησης, πχ. μακροχρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας.<br />
Στο πλαίσιο αυτό θα ήταν σκόπιμη η διάκριση των συνθηκών λειτουργίας μιας υποδομής. Για παράδειγμα,<br />
οι περίοδοι αυτές θα μπορούσαν να διακριθούν σε περιόδους (α). κανονικής λειτουργίας, (β)<br />
ειδικών γεγονότων και (γ) έκτακτης ανάγκης. Σε καθεμία από τις περιόδους αυτές μπορεί να υπάρξει<br />
διαφοροποίηση της εκτίμησης της επικινδυνότητας.<br />
Αν επιλεγεί μια ποιοτική προσέγγιση της επικινδυνότητας, αυτή θα μπορούσε να βασιστεί σε μια α-<br />
δρομερή διαβάθμιση τόσο της πιθανοφάνειας των απειλών (low-medium-high), όσο και των επιπτώσεών<br />
τους, και στη συνέχεια στη χρήση κατάλληλου πίνακα επιπέδου επικινδυνότητας (risk-level<br />
matrix) [NIST-02] (Πίνακας 7). Με δεδομένες τις δυσκολίες εκτίμησης της πιθανοφάνειας των απειλών,<br />
μια περαιτέρω απλούστευση συνίσταται στο να υπολογισθεί το επίπεδο επικινδυνότητας μιας υ-<br />
ποδομής (ή μέρους αυτής) με βάση μόνον τις επιπτώσεις που επιφέρει η μη διαθεσιμότητά της.<br />
Μέγεθος επιπτώσεων<br />
Πιθανοφάνεια<br />
Απειλής<br />
Low (10) Medium (50) High (100)<br />
Low (0.1) 1 5 10<br />
Medium (0.5) 5 25 50<br />
High (1.0) 10 50 100<br />
Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων<br />
Προφανώς, οι έννοιες της κρισιμότητας και της επικινδυνότητας δεν ταυτίζονται. Λέμε, παραδείγματος<br />
χάρη, ότι μια υποδομή είναι “κρίσιμη” για την ανάπτυξη ενός τομέα. Σε μια τέτοια διατύπωση, η<br />
κρισιμότητα έχει θετική σημασία, κάτι που εννοιολογικά δεν μπορεί να αποδοθεί στην επικινδυνότητα.<br />
Ωστόσο, στο θεματικό πλαίσιο του συγκεκριμένου παραδοτέου, όπου η κρισιμότητα μελετάται με<br />
στόχο την προστασία, μπορεί να δικαιολογηθεί η διαβάθμισή της “κατ’ αναλογία” προς την επικινδυνότητα,<br />
δηλαδή με χρήση παρόμοιων κριτηρίων.<br />
5.1.3 Κριτήρια επικινδυνότητας<br />
Στην παράγραφο αυτή παρέχονται συγκεκριμένα παραδείγματα προσεγγίσεων στην ανάλυση της επικινδυνότητας,<br />
με βάση επιλεγμένα κείμενα από τη διεθνή βιβλιογραφία.<br />
Για τη διαβάθμιση των επιπτώσεων σε δυνητικά κρίσιμες υποδομές, η Ευρωπαϊκή Ένωση προτείνει<br />
να λαμβάνονται υπόψη τα εξής τρία βασικά χαρακτηριστικά [EU-05]:<br />
• Έκταση: Η απώλεια μιας συνιστώσας μια κρίσιμης υποδομής αξιολογείται με βάση τη γεωγραφική<br />
εμβέλεια των επιπτώσεών της (πχ. διεθνής, εθνική, περιφερειακή, τοπική).<br />
• Μέγεθος: Η επίπτωση μπορεί να κατηγοριοποιηθεί ως “μηδαμινή” (αμελητέα), “μικρή”, “μεσαία”<br />
ή “σημαντική”. Το μέγεθος αξιολογείται με βάση επιμέρους χαρακτηριστικά, όπως η εμβέλεια<br />
της επίδρασης (αριθμός πολιτών που επηρεάστηκαν, απώλεια ανθρώπινης ζωής, τραυματισμός<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
108
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
κλπ.), η οικονομική επίπτωση (επηρεασμός του ΑΕΠ, μέγεθος οικονομικής απώλειας και/ή υποβάθμιση<br />
προϊόντων και υπηρεσιών), η περιβαλλοντική επίπτωση (στο κοινό και στο περιβάλλον),<br />
η άλληλοεξάρτηση (με άλλες υποδομές ή/και συνιστώσες τους), η αρνητική δημοσιότητα (πχ.<br />
πολιτικό κόστος, εμπιστοσύνη στην κυβέρνηση, κρίση αξιοπιστίας) κλπ.<br />
• Επίδραση του χρόνου: Αφορά εκείνη το χρονικό σημείο της απώλειας μιας συνιστώσας, οπότε<br />
θα υπήρχε σημαντική επίδραση (πχ. άμεσα, μέσα στο επόμενο 24ωρο, σε μια εβδομάδα κλπ.).<br />
Μια άλλη σχετική προσέγγιση, η οποία στηρίζεται στην ανάλυση επικινδυνότητας κρίσιμων υποδομών<br />
[EMA-03], προσθέτει ένα τέταρτο χαρακτηριστικό, τη διαχειρισιμότητα (manageability), η οποία<br />
συσχετίζει την κρισιμότητα της υποδομής με τη δυνατότητα αντιμετώπισης περιστατικών προσβολής<br />
της. Η προσέγγιση αυτή αφορά κυρίως διαχείριση κρίσεων, γιαυτό ως πιθανές επιπτώσεις περιγράφονται<br />
οι:<br />
• μακροχρόνια αδυναμία παροχής κρίσιμων υπηρεσιών ή υποδομών,<br />
• χρήση διαδικασιών εκτάκτου ανάγκης,<br />
• ανάγκη για ανταπόκριση από πολλαπλές οργανωτικές μονάδες και φορείς,<br />
• εκτενής χρήση εξωτερικών πόρων,<br />
• υψηλός αριθμός ανθρώπινων απωλειών ή τραυματισμών,<br />
• γενική και εκτενής μετατόπιση ανθρώπινου δυναμικού για μεγάλες χρονικές περιόδους,<br />
• εκτενείς υλικές ζημιές,<br />
• σημαντική περιβαλλοντική επίδραση με μακροχρόνια ή μόνιμη ζημία,<br />
• εκτενής οικονομική απώλεια.<br />
Ανάλογα κριτήρια προσδιορισμού των κρίσιμων υποδομών, καθώς και του βαθμού κρισιμότητάς<br />
τους, ορίζονται στo National Critical Infrastructure Assurance Program [NCIAP-04]. Ειδικότερα, υιοθετούνται<br />
έξι κριτήρια που αφορούν την απώλεια της διαθεσιμότητας ενός αγαθού ή μιας υπηρεσίας.<br />
Αυτά αναλύονται με βάση τέσσερις παραμέτρους: (α). εμβέλεια (scope), (β). μέγεθος επίπτωσης<br />
(magnitude), (γ). χρονική συγκυρία (time of the year) και (δ). επίδραση του χρόνου (effects of time),<br />
ως εξής (Πίνακας 8):<br />
• Βαθμός συγκέντρωσης πληθυσμού. Εκτιμά τις πιθανές ανθρώπινες απώλειες, τραυματισμούς ή<br />
εγκαταστάσεις που πρέπει να εκκενωθούν λόγω της απώλειας μιας υπηρεσίας ή μιας εγκατάστασης.<br />
Δεν περιλαμβάνει εκτιμήσεις για τον αριθμό των ατόμων που επηρεάζονται γενικότερα<br />
από την απώλεια της διαθεσιμότητας. Βασίζεται στο ότι, όσο υψηλότερη είναι η συγκέντρωση<br />
των ατόμων, τόσο μεγαλύτερη είναι η πιθανότητα για καταστροφικά γεγονότα.<br />
• Οικονομική επίπτωση. Εκτιμά την πιθανή οικονομική επίπτωση από τη μείωση της ποιότητας<br />
μιας υπηρεσίας έως τη μη διαθεσιμότητά της. Εκτός από την άμεση φυσική απώλεια ή διακοπή ε-<br />
νός αγαθού, συνεκτιμά σε ποιοτικούς όρους και απώλειες που σχετίζονται με τις ανάλογες πληροφορίες<br />
ή ανθρώπους που χρησιμοποιούν το αγαθό.<br />
• Εμβέλεια επιπτώσεων. Εκτιμά πώς η απώλεια ενός αγαθού επηρεάζει έναν ή περισσότερους τομείς.<br />
• Αλληλοεξάρτηση. Εκτιμά την επίπτωση σε άλλες υποδομές από την απώλεια μιας υπηρεσίας<br />
κάποιας υποδομής. Εντοπίζονται οι συσχετίσεις μεταξύ υποδομών ανά υπηρεσία ή αγαθό. Στόχος<br />
είναι να εντοπιστούν επιπτώσεις κλίμακας σε άλλες κρίσιμες υπηρεσίες/λειτουργίες/αγαθά μέσα<br />
σε ένα τομέα ή σε άλλους τομείς. Οι τύποι της αλληλοεξάρτησης περιλαμβάνουν: (α). φυσική ε-<br />
ξάρτηση (το προϊόν μιας υποδομής χρησιμοποιείται από μια άλλη), (β). γεωγραφική εξάρτηση<br />
(πχ. κοινή εγκατάσταση) και (γ). λογική εξάρτηση.<br />
• Κρισιμότητα υπηρεσίας. Εκτιμάται ποιοτικά η επίπτωση της καταστροφής ή της προσωρινής<br />
απώλειας ενός αγαθού ενός τομέα στην Οικονομία. Αρχικά, απαιτείται ποσοτική εκτίμηση του<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
109
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις.<br />
Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη διαθεσιμότητα των εναλλακτικών υπηρεσιών,<br />
καθώς και με το κόστος και το χρόνο αποκατάστασής της.<br />
• Εμπιστοσύνη του κοινού. Εκτιμάται η επίπτωση στην κοινή γνώμη (εργαζομένων, καταναλωτών,<br />
πολιτών, ομάδων με ειδική ευαισθησία ή/και επιρροή κλπ.). Ειδικότερα, εκτιμάται η εμπιστοσύνη<br />
του κοινού στην Κυβέρνηση, που αφορά την προστασία της δημόσιας υγείας, ασφάλειας,<br />
οικονομίας ή την παροχή σχετικών υπηρεσιών.<br />
Επίπτωση Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή<br />
Βαθμός 15 5 3 1<br />
Συγκέντρωση πληθυσμού<br />
Οικονομική επίπτωση<br />
(άμεσο κόστος α-<br />
ποκατάστασης)<br />
Εμβέλεια επιπτώσεων<br />
Βαθμός αλληλοεξάρτησης<br />
Κρισιμότητα υπηρεσίας<br />
Εμπιστοσύνη του<br />
κοινού<br />
>10,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 €
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
4. Εμπιστοσύνη της κοινής γνώμης<br />
5. Άσκηση διοίκησης και εφαρμογή πολιτικής ΔΔ<br />
Χαρακτηριστικά κλίμακας<br />
1. Ένταση (intensity)<br />
2. Χρονική διάρκεια ή κατανομή<br />
3. Γεωγραφική εμβέλεια<br />
Η ένταση είναι μέγεθος ανηγμένο ανά άτομο και χρονική μονάδα (ημέρα, βδομάδα, μηνα), πχ. για τις<br />
οικονομικές επιπτώσεις μπορεί να εκφρασθεί σε €/άτομο/μέρα.<br />
Εάν δεν υπάρχει εποχιακή διακύμανση των επιπτώσεων, η ένταση δίνεται από έναν αριθμό. Εάν, ω-<br />
στοσο, οι επιπτώσεις εξαρτώνται από το χρόνο εμφάνισης της προσβολής ή αστοχίας της υποδομής,<br />
τότε απαιτείται μια χρονική κατανομή της έντασης των επιπτώσεων, υπό τύπον καμπύλης. Η αθροιστική,<br />
ως προς το χρόνο, ένταση επιπτώσεων, δηλαδή το εμβαδόν κάτω από την καμπύλη κατανομής<br />
για το διάστημα που διαρκούν οι επιπτώσεις, δίνει την κατά κεφαλή επίπτωση. Στην Ελλάδα, για<br />
παράδειγμα, ας θεωρήσουμε την πληροφοριακή και επικοινωνιακή υποδομή του TAXIS. Προφανώς<br />
υπάρχει εποχιακή διακύμανση των επιπτώσεων, λόγω των καθορισμένων ημερομηνιών και προθεσμιών<br />
για τη διεκπεραίωση υποθέσεων και συναλλαγών πολιτών και επιχειρήσεων με το Υπουργείο<br />
Οικονομικών. Συνεπώς, άλλες είναι οι επιπτώσεις της μη διαθεσιμότητας των servers της ΓΓΠΣ κατά<br />
το Μάρτη-Απρίλη και άλλες τον Ιούλιο-Αύγουστο. Με χρήση της ενδεικτικής κατανομής του Σχήμα<br />
18 μπορούμε να υπολογίσουμε την κατά κεφαλή επίπτωση ενός συμβάντος (πχ. της μη διαθεσιμότητας<br />
της υποδομής της ΓΓΠΣ από [15.04-15.05] σε 35 μονάδες).<br />
Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι<br />
αναφερόμενες τιμές είναι ενδεικτικές)<br />
Η γεωγραφική εμβέλεια των επιπτώσεων παρέχεται ως κατανομή της πληθυσμιακής πυκνότητας<br />
στην περιοχή ενδιαφέροντος ή/και του ειδικού βάρους που έχουν οι συγκεκριμένες επιπτώσεις ανά<br />
περιοχή. Προκειμένου για μια δημόσια υπηρεσία ηλεκτρονικής διακυβέρνησης, η πληθυσμιακή πυκνότητα<br />
μιας περιοχής στην οποία απευθύνεται η υπηρεσία προκύπτει από το γινόμενο της πραγματικής<br />
πληθυσμιακής πυκνότητας επί το ποσοστό διείσδυσης (penetration) της υπηρεσίας. Το χωρικό ο-<br />
λοκλήρωμα της ως άνω κατανομής στην περιοχή ενδιαφέροντος (πυκνότητα x έκταση) θα δώσει τον<br />
ενεργό πληθυσμό που πρέπει να ληφθεί υπόψη για τον υπολογισμό του μεγέθους των επιπτώσεων<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
111
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
διακοπής της υπηρεσίας. Ο τελικός τύπος υπολογισμού του μεγέθους αυτού είναι: (μέγεθος επίπτωσης)<br />
= (κατά κεφαλή επίπτωση) x (ενεργός πληθυσμός)<br />
Στο Σχήμα 19 παρέχεται ένα ενδεικτικό διάγραμμα με διαβαθμισμένα τα χαρακτηριστικά κλίμακας,<br />
καθώς και το μέγεθος των πέντε κατηγοριών επιπτώσεων, με βάση την ως άνω μέθοδο.<br />
Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική<br />
διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές)<br />
Για τις κατηγορίες επιπτώσεων των οποίων είναι δυσχερής η ποσοτικοποίηση ως προς την ένταση<br />
(πχ. επίπεδο εμπιστοσύνης της κοινής γνώμης, άσκηση διοίκησης και εφαρμογή πολιτικής), μπορεί<br />
να γίνει μια αδρομερής διαβάθμιση σε κλίμακες, οπότε θα προκύψει μια αντίστοιχη διαβάθμιση για<br />
το μέγεθος των επιπτώσεων αυτών.<br />
Η ως άνω προσέγγιση θα μπορούσε να εμπλουτισθεί περαιτέρω, ειδικά για χώρες όπως η Ελλάδα, ό-<br />
που η διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση δεν είναι εκτενής, σε συνδυασμό με το ότι οι υπηρεσίες<br />
ηλεκτρονικής διακυβέρνησης είναι περιορισμένα ορατές στο μέσο πολίτη. Στην Ελλάδα, κάποια<br />
τυχόν μείζονα προβλήματα στη λειτουργία μιας ΠΕΥ μπορεί να δημιουργήσουν αρνητική προδιάθεσή<br />
στους πολίτες, τοσο έναντι της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όσο και έ-<br />
ναντι των ΤΠΕ γενικότερα. Συνεπώς, η εκτίμηση της επιρροής των συμβάντων αυτών στην άποψη<br />
του κοινού για τις ΤΠΕ μπορεί να συνεισφέρει ως μια κατηγορία επιπτώσεων.<br />
5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ<br />
Με βάση τη μελέτη της σχετικής εμπειρίας και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις<br />
προτάσεις που προηγήθηκαν, η μέθοδος που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολόγηση<br />
της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις παραμέτρους:<br />
3. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγησαν<br />
10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της σχετικής διεθνούς βιβλιογραφίας.<br />
4. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια<br />
κλίμακα Likert, προκειμένου να αποτυπωθεί ακριβέστερα η σχετική πραγματικότητα.<br />
5. Οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, οι οποίες επελέγησαν με βάση τις σχετικές κατευθύνσεις της<br />
Ευρωπαϊκής Ένωσης που αφορούν τις ηλεκτρονικά παρεχόμενες υπηρεσίες Δημόσιας Διοίκησης,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
112
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων ανάπτυξης<br />
και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων.<br />
6. Η διαδικασία επιλογής των κρίσιμων υποδομών, η οποία βασίζεται στο συνδυασμό της έντασης<br />
κάθε επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση<br />
το θεωρητικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο” 54 (worst-case scenario).<br />
Για κάθε μία από τις παραπάνω παραμέτρους έγιναν συγκεκριμένες επιλογές, οι οποίες περιγράφονται<br />
στη συνέχεια.<br />
Τα είδη των επιπτώσεων που λήφθηκαν υπόψη είναι τα εξής:<br />
1. Πληθυσμός (αριθμός χρηστών) που επηρεάζεται<br />
2. (Άμεση) Οικονομική επίπτωση από τη μη διαθεσιμότητα<br />
3. Ένταση διασυνοριακότητας<br />
4. Αλληλεξάρτηση ΠΕΥ με άλλες<br />
5. Ανάκαμψη ΠΕΥ<br />
6. Αντίδραση της κοινής γνώμης<br />
7. Επίπτωση στην εφαρμογή πολιτικών και στην εν γένει λειτουργία της ΔΔ<br />
8. Επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων<br />
9. Επίπτωση στην ιδιωτικότητα (privacy)<br />
10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ<br />
Η ένταση των επιπτώσεων περιγράφεται με τη βοήθεια μιας πενταβάθμιας κλίμακας τύπου Likert,<br />
με τιμές: {Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. H επιλογή πενταβάθμιας κλίμακας,<br />
αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας, έγινε για να μπορεί να<br />
απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορισμένων επιπτώσεων, δεδομένων<br />
των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέλειας), σε σύγκριση με τις αντίστοιχες<br />
διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετραβάθμια ή εξαβάθμια κλίμακα δεν είχε κάτι<br />
πραγματικά ουσιαστικό να συνεισφέρει στη διαφοροποίηση της έντασης των επιπτώσεων.<br />
Ο Πίνακας 9 που προκύπτει από το συνδυασμό των ως άνω παραμέτρων εμπλουτίστηκε με τις τιμές<br />
εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Οι τιμές, αν και σε ορισμένα<br />
σημεία επελέγησαν ad hoc για να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες, βασίζονται κυρίως<br />
στη σχετική βιβλιογραφία.<br />
Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν<br />
θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την<br />
κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους.<br />
Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική<br />
προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπηρεσίες<br />
55 , ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπηρεσίες<br />
αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες<br />
ΠΕΥ της ΔΔ. Οι υποψήφιες ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω<br />
συνεντεύξεων που διεξήχθησαν μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της<br />
ΚτΠ Α.Ε., τα οποία διετέλεσαν ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ.<br />
54 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης<br />
επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας,<br />
αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη.<br />
55 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μεθοδο. Έτσι,<br />
είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών στην ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής<br />
διακυβέρνησης. Περαιτέρω, οι υπηρεσίες αυτές αξιολογούνται και από το ελληνικό Παρατηρητήριο για την Κοινωνία<br />
της Πληροφορίας, ως προς το επίπεδο ωρίμανσής τους.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
113
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κριτήριο<br />
Επίπτωση<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή<br />
Επηρεαζόμενος πληθυσμός<br />
>100,000 10,000-100,000 1,000-10,000 100-1,000 100 x 10 6 € 10-100 x 10 6 € 1-10 x 10 6 € 0,1-1 x 10 6 €
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Τέλος, η μελέτη των ΠΕΥ αυτών διευρύνθηκε, περαιτέρω, μέσω εστιασμένου σχεδίου διαβούλευσης,<br />
το οποίο εκπονήθηκε και υλοποιήθηκε από την Ο.Ε. και αφορούσε την ανταλλαγή απόψεων μεταξύ<br />
των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτικό τομέα, οι οποίοι έ-<br />
χουν ώριμη αντίληψη για τέτοιου είδους υποδομές.<br />
Η διαδικασία επιλογής των κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρακτηρισμό<br />
αυτό, δεν βασίστηκε σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και<br />
συλλογικής επαγγελματικής εμπειρογνωμοσύνης (professional judgement). Το θεμελιώδες σημείο α-<br />
ναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυσμενέστερου ενδεχομένου (worst-case scenario).<br />
Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές της<br />
ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κριτηρια<br />
κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.<br />
Σύμφωνα με τη μέθοδο που περιγράφηκε, καθώς και την αναλυτική καταγραφή και αξιολόγηση των<br />
δεδομένων των υποψήφιων κρίσιμων ΠΕΥ ΔΔ (που ακολουθεί στα επόμενα κεφάλαια), προκύπτει ο<br />
που περιλαμβάνει τις χαρακτηριστικές Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της<br />
Ελληνικής Δημόσιας Διοίκησης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
115
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κριτήριο<br />
Πληροφοριακή και<br />
Επικοινωνιακή Υποδομή<br />
ΣΥΖΕΥΞΙΣ ΟΠΣ ΚΕΠ Data Centers ΚτΠ Α.Ε. TAXISnet<br />
Επηρεαζόμενος πληθυσμός Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή<br />
Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ Υψηλή<br />
Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ Υψηλή<br />
Αλληλοεξάρτηση Πολύ Υψηλή Μέτρια Υψηλή Υψηλή<br />
Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή<br />
Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια<br />
Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια<br />
Προσωπική ασφάλεια Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή<br />
Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή<br />
Επηρεασμός του κοινού για τις<br />
ΤΠΕ/ΠΕΥ<br />
Υψηλή Υψηλή Πολύ Υψηλή Υψηλή<br />
Χρωματικός κώδικας έντασης της τιμής της παραμέτρου<br />
Χαμηλή Μέτρια Υψηλή<br />
Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
116
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σύμφωνα με τον παραπάνω πίνακα προκύπτουν, συμπερασματικά, τα εξής:<br />
Όλες οι κρίσιμες ΠΕΥ ΔΔ παρουσιάζουν επίπτωση επιπέδου «Πολύ Υψηλή», αναφορικά με τον επηρεαζόμενο<br />
πληθυσμό, ενώ επιπέδου «Υψηλή – Πολύ Υψηλή» χαρακτηρίζεται και η επίπτωση αναφορικά<br />
με τη γεωγραφική εμβέλεια, την αποκάλυψη προσωπικών δεδομένων και την επίδραση στη<br />
γνώμη του κοινού για τις ΤΠΕ/ΠΕΥ. Με εξαίρεση του ΟΠΣ ΚΕΠ, που παρουσιάζει «Μέτρια» αλληλεξάρτηση,<br />
«Υψηλή - Πολύ Υψηλή» είναι η επίπτωση για όλες τις κρίσιμες ΠΕΥ ΔΔ, αναφορικά με<br />
το συγκεκριμένο κριτήριο.<br />
Οι παραπάνω τιμές δικαιολογούνται από το γεγονός ότι όλες οι υποδομές, παρουσιάζουν εξαρτήσεις,<br />
απευθύνονται σε ένα πολύ ευρύ κοινό χρηστών, σε εθνικό, αλλά και διεθνές επίπεδο, όπου γίνεται<br />
χρήση και επεξεργασία προσωπικών στοιχείων.<br />
Από την άλλη πλευρά, με εξαίρεση το TAXIS-TAXISnet, όπου λόγω της υποστήριξης άμεσων οικονομικών<br />
συναλλαγών, η οικονομική επίπτωση κρίνεται ως «Πολύ Υψηλή», στις υπόλοιπες κρίσιμες<br />
ΠΕΥ ΔΔ το αντίστοιχο κριτήριο χαρακτηρίζεται με το βαθμό «Χαμηλή», εφόσον δεν υπάρχει άμεσος<br />
χειρισμός οικονομικών στοιχείων.<br />
Ομοίως, με εξαίρεση τα Data Centers της ΚτΠ Α.Ε. όπου το κριτήριο της επίπτωσης της ανάκαμψης<br />
- διαθεσιμότητας της υπηρεσίας χαρακτηρίζεται με το βαθμό «Υψηλή», λόγω της κρισιμότητας της<br />
Εθνικής Πύλης ΕΡΜΗΣ αλλά και των ΟΠΣΝΑ, όλες οι άλλες κρίσιμες ΠΕΥ ΔΔ χαρακτηρίζονται ως<br />
«Μέτρια – Χαμηλή», δεδομένου ότι δεν υπάρχουν υψηλές απαιτήσεις διαθεσιμότητας, λόγω της ύ-<br />
παρξης επαρκών εναλλακτικών καναλιών.<br />
Στα ίδια πλαίσια, για το ΣΥΖΕΥΞΙΣ, το κριτήριο της αντίδρασης της κοινής γνώμης έχει «Υψηλή»<br />
επίπτωση, δεδομένου του έυρους του Δικτύου στις υπηρεσίες ΔΔ και τον αριθμό των χρηστών του,<br />
ενώ για τις άλλες κρίσιμες ΠΕΥ ΔΔ η σχετική επίπτωση κρίνεται ως «Μέτρια».<br />
Με το ίδιο σκεπτικό, για την κρίσιμη ΠΕΥ ΔΔ του ΟΠΣ ΚΕΠ, δεν υπάρχει σημαντική επίδραση στη<br />
λειτουργία κυβερνητικών φορέων και, κατ’ επέκταση, στην εφαρμογή κυβερνητικής πολιτικής από<br />
την παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, οπότε το σχετικό κριτήριο της εφαρμογής<br />
πολιτικής και λειτουργίας ΔΔ χαρακτηρίζεται με επίπτωση «Χαμηλή», σε αντίθεση με τις άλλες<br />
ΠΕΥ ΔΔ που χαρακτηρίζονται με «Μέτρια» επίπτωση, για το συγκεκριμένο κριτήριο.<br />
Τέλος, για όλες τις κρίσιμες ΠΕΥ ΔΔ δεν φαίνεται να προκύπτει άμεση συσχέτιση με την προσωπική<br />
ασφάλεια των πολιτών, οπότε για το συγκεκριμένο κριτήριο η επίπτωση χαρακτηρίζεται ως «Πολύ<br />
Χαμηλή».<br />
5.2 Δίκτυο ‘Σύζευξις’<br />
5.2.1 Στοιχεία ταυτότητας έργου<br />
Το «Σύζευξις» είναι έργο του Υπουργείου Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης<br />
(ΥΠΕΣΔΔΑ), με το οποίο επιδιώκεται η ανάπτυξη και ο εκσυγχρονισμός της τηλεπικοινωνιακής<br />
υποδομής του Δημόσιου Τομέα. Πρόκειται για ένα δίκτυο πρόσβασης και κορμού για τους φορείς<br />
του Δημοσίου, με σκοπό να καλύψει όλες τις ανάγκες για τη μεταξύ τους επικοινωνία με τηλεφωνία<br />
(τηλεφωνική επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και<br />
Video (τηλεδιάσκεψη - τηλεεκπαίδευση).<br />
Σκοπός του έργου είναι η βελτίωση της λειτουργίας των δημοσίων υπηρεσιών, με την αναβάθμιση<br />
της μεταξύ τους επικοινωνίας μέσω της παροχής προηγμένων τηλεματικών υπηρεσιών με χαμηλό<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
117
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
κόστος, και η ενοποιημένη εξυπηρέτηση των πολιτών, με αυτοματοποιημένα και φιλικά προς τον<br />
χρήστη συστήματα πληροφόρησης και διεκπεραίωσης συναλλαγών με το Δημόσιο.<br />
Προϋπολογισμός έργου: 80.000.000 €<br />
Χρονοδιάγραμμα: Διάρκεια έργου 48 μήνες<br />
• 1996: Πρώτος σχεδιασμός<br />
• 1/1/2005-31/12/2005: Ολοκλήρωση μελέτης εφαρμογής και βασικής υλοποίησης<br />
• 1/1/2006-31/12/2008: Παραγωγική λειτουργία και παροχή υπηρεσιών<br />
Ανάδοχοι:<br />
• Altec Telecoms και ΟΤΕ: Υλοποίηση Δικτύου στην Αττική (Νησίδα 1)<br />
• Forthnet: Υλοποίηση δικτύου στη Θεσσαλονίκη (Νησίδα 3)<br />
• ΟΤΕ: Υλοποίηση δικτύου στην Υπόλοιπη Ελλάδα (4 νησίδες)<br />
• ΟΤΕ: Δίκτυο κορμού<br />
• ΟΤΕ-OteNet: Datacenter για την παροχή υπηρεσιών κορμού (portal, workplace, MCU)<br />
• Adacom, OteNet: Υποδομή Δημόσιου Κλειδιού (PKI)<br />
• 01 Πληροφορική, Exodus, ATC ABETE: E-Learning<br />
• Σύμπραξη Διαδικασία και InfoGroup και EOGroup και ΕΠΙΣΕΥ: Σύμβουλος Τεχνικής Υποστήριξης<br />
(ΣΤΥ)<br />
Μελετητής Ασφάλειας:<br />
• Δεν έχει προδιαγραφεί Μελέτη Ασφάλειας.<br />
• Εξαίρεση αποτελεί η παροχή υπηρεσιών Ψηφιακής Υπογραφής (ΡΚΙ) όπου έχει εκπονηθεί Μελέτη<br />
Εφαρμογής, η οποία εγγενώς μπορεί να θεωρηθεί ως μελέτη ασφάλειας για τη συγκεκριμένη υπηρεσία<br />
• Γίνονται μόνο κατά-περίπτωση (ad-hoc) ενέργειες ρύθμισης των συστημάτων Firewall, IDS, Access<br />
Lists.<br />
Τρέχουσα Κατάσταση:<br />
• Διασυνδέονται 1800 σημεία πρόσβασης. Μία λογική κατηγοριοποίηση των διασυνδεδεμένων<br />
σημείων γίνεται με τρεις εναλλακτικούς τρόπους:<br />
o<br />
o<br />
o<br />
Γεωγραφικά (διαχωρισμός σε 6 νησίδες με γεωγραφικό προσδιορισμό). Υπάρχει αντιστοιχία<br />
με την ανάθεση των υποέργων σε διαφορετικούς αναδόχους.<br />
Διοικητικά (διαχωρισμός με κριτήριο τη διοικητική αυτονομία των διαφορετικών ομάδων<br />
χρηστών). Η διοικητική κατηγοριοποίηση βασίζεται κυρίως στο διαχωρισμό με βάση τις<br />
αρμοδιότητες των Υπουργείων. Υπάρχει αντιστοιχία με το διαχωρισμό του ‘Σύζευξις’ σε<br />
ιδεατά ιδιωτικά δίκτυα (VPN) (β.λπ. 5.2.2.).<br />
Αριθμητικά (διαχωρισμός σε μικρό, μεσαίο και μεγάλο φορέα, ως προς τον αριθμό των<br />
χρηστών ανά κτίριο). Ο διαχωρισμός αυτός αφορά κυρίως στη σχεδίαση της τηλεπικοινωνιακής<br />
υποδομής που εγκαθίσταται στο σημείο διασύνδεσης, καθώς και στον εξοπλισμό<br />
και στην τεχνολογία που χρησιμοποιείται.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
118
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Το έργο αυτή τη στιγμή βρίσκεται σε εξέλιξη. Συγκεκριμένα βρίσκεται στη φάση της παραγωγικής<br />
λειτουργίας, η οποία λήγει στο τέλος του τρέχοντος έτους (2008).<br />
• Μετά το τέλος του παρόντος έργου θα προκηρυχθεί νέο έργο, ανοικτό προς όλους τους ενδιαφερόμενους.<br />
Πρόσθετο έργο ‘Μίνι Σύζευξις’:<br />
• Σε φάση πιλοτικής λειτουργίας βρίσκεται ένα πρόσθετο έργο-επέκταση (Μίνι-Σύζευξις) για τη<br />
διασύνδεση επιπλέον φορέων που δεν εντάχθηκαν στο κυρίως έργο.<br />
• Διασύνδεση επιπλέον 1200 σημείων.<br />
• Οι διασυνδέσεις έχουν ολοκληρωθεί κατά 95% και το έργο βρίσκεται σε φάση πιλοτικής λειτουργίας.<br />
• Ανάδοχοι: Forthnet για τη νησίδα της Θεσσαλονίκης και ΟΤΕ για τις νησίδες Αττικής και Υπόλοιπης<br />
Ελλάδας.<br />
5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Τοπολογία λογικής διασύνδεσης – εξαρτήσεις:<br />
• Το Δίκτυο χωρίζεται λογικά σε 4 Ιδεατά Ιδιωτικά Δίκτυα (VPN) για τα οποία ακολουθείται η<br />
ορολογία ‘Νησίδες’:<br />
o<br />
o<br />
Φορείς του Υπουργείου Εσωτερικών: Υπουργεία, Νομαρχίες, Περιφέρειες, Δήμοι, Κέντρα<br />
Εξυπηρέτησης Πολιτών (>1200 σημεία διασύνδεσης).<br />
Φορείς του Υπουργείου Υγείας: Νοσοκομεία, Κέντρα Υγείας, Μονάδες διοίκησης της υγείας<br />
και φορείς Πρόνοιας (~400 σημεία).<br />
o Φορείς του Υπουργείου Εθνικής Άμυνας: Στρατολογικά γραφεία, Γενικό Επιτελείο (υπό α-<br />
νάπτυξη).<br />
o<br />
Φορείς του Υπουργείου Οικονομικών: Διαχειριστικές αρχές του 3ου Κοινοτικού Πλαισίου<br />
Στήριξης, σύστημα GIS και περίπου 1200 πρόσθετες διασυνδέσεις από το έργο ‘Μίνι-Σύζευξις’.<br />
• Τα 4 VPNs είναι απομονωμένα μεταξύ τους και επικοινωνούν με τους ίδιους αυστηρούς κανόνες<br />
που ισχύουν για την επικοινωνία με εξωτερικά ανοικτά δίκτυα.<br />
• Οι Φορείς που βρίσκονται εντός του ίδιου VPN επικοινωνούν μεταξύ τους με λιγότερο αυστηρούς<br />
κανόνες, ως ένα Intranet. Εδώ διαφαίνεται ενίσχυση των ‘εκ των έσω’ κινδύνων λόγω του<br />
μεγάλου μεγέθους και της διασποράς των σημείων που διασυνδέονται.<br />
• Διαπιστώνεται ότι σημαντικός αριθμός φορέων διαθέτουν ταυτόχρονα και πρόσθετες διασυνδεσεις<br />
(εκτός Σύζευξις) με εξωτερικά δίκτυα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
119
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’<br />
Τεχνικά Χαρακτηριστικά και Σχεδιαστικές επιλογές:<br />
• Ευρυζωνικές διασυνδέσεις (2 – 34 Mbps).<br />
• Για την σύνδεση με το Διαδίκτυο (Internet) κάθε νησίδα έχει τουλάχιστον 2 ξεχωριστές ζεύξεις<br />
(μια πρωτεύουσα και μια δευτερεύουσα) για λόγους διαθεσιμότητας και αξιοπιστίας.<br />
• Τεχνολογία MPLS.<br />
• Κάθε φορέας που διασυνδέεται μπορεί να διαμορφώσει τη δική του περιμετρική ασφάλεια, πέρα<br />
από το κατώτερο επίπεδο ασφάλειας που επιβάλλει η κεντρική υποδομή.<br />
• Κεντρικές υπηρεσίες ασφάλειας: firewalls, proxies, antivirus, intrusion detection systems, antispamming,<br />
content filtering (Κάθε ανάδοχος έχει τα δικά του συστήματα, τα οποία μπορεί να<br />
υλοποιούνται σε διαφορετικές πλατφόρμες).<br />
• Δυνατότητα low-level κρυπτογράφησης από άκρο-σε-άκρο μεταξύ φορέων.<br />
• Απομακρυσμένη ασφαλής σύνδεση με IPsec, για τα στελέχη της ΔΔ.<br />
• Όλες οι TCP/UDP πόρτες είναι εξορισμού κλειστές. Επιτρέπεται μόνο η επικοινωνία για web<br />
(http:80, https:443) και για email (smtp:25, pop3:110)<br />
• Δυνατότητα υποστήριξης επιπλέον εφαρμογών – δικτυακών πορτών μετά από τεκμηριωμένο<br />
αίτημα.<br />
• Κάθε κόμβος του δικτύου διανομής θα είναι συσκευή του Επιπέδου Δικτύου 3 (OSI layer 3 -<br />
Network Layer) και συγκεκριμένα του πρωτοκόλλου IP εκτελώντας όλες τις λειτουργίες του<br />
επιπέδου αυτού ή/και ανώτερου (δρομολόγηση κ.α.).<br />
• Η μετάδοση φωνής γίνεται πάνω από IP δίκτυα με υλοποίηση πρωτοκόλλων VoIP (Voice over<br />
Internet Protocol).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
120
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.2.3 Παρεχόμενες υπηρεσίες<br />
Υπηρεσίες που παρέχονται:<br />
• Ενοποιημένες υπηρεσίες Δεδομένων-Φωνής-Εικόνας.<br />
• Υπηρεσίες τηλεφωνίας μεταξύ των διασυνδεδεμένων φορέων και τερματισμός για κλήσεις<br />
προς εξωτερικά δίκτυα.<br />
• Για τις ανάγκες τηλεδιάσκεψης-τηλεεκπαίδευσης έχουν εγκατασταθεί 100 studio τηλεδιάσκεψης<br />
σε επιλεγμένα σημεία.<br />
• Συνεργασία-Διασύνδεση με το Ευρωπαϊκό δίκτυο Δημόσιας Διοίκησης TESTA, Trans-European<br />
Services for Telematics between Administrations, το οποίο υιοθετεί αυστηρή πολιτική ασφά -<br />
λειας.<br />
PKI και Ψηφιακή Υπογραφή:<br />
• 50.000 χρήστες ψηφιακών πιστοποιητικών με smart cards.<br />
• Για κάθε χρήστη διατίθεται Ψηφιακό Πιστοποιητικό αποκλειστικά για χρήση σε ψηφιακή υπογραφή<br />
και ταυτοποίηση και ένα 2ο πιστοποιητικό για χρήση αποκλειστικά σε κρυπτογράφηση.<br />
• 2.500 ψηφιακά πιστοποιητικά SSLγια τους servers του δικτύου.<br />
• Ο Κανονισμός Πιστοποίησης έχει δημοσιευθεί επίσημα και βρίσκεται σε ισχύ.<br />
5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Διασυνδεμένοι Φορείς στο κυρίως έργο:<br />
• Δυνητικά, το σύνολο των φορέων του ευρύτερου ελληνικού Δημοσίου.<br />
• Σήμερα περίπου 1800 σημεία σύνδεσης, φορέων που εντάσσονται σε 4 Υπουργεία.<br />
• Υπάρχουν ακόμη πολλοί φορείς που δεν συμμετέχουν και έχουν εκφράσει το ενδιαφέρον<br />
συμμετοχής τους (π.χ. ΕΛΑΣ, ΥΕΝ, Υπ.Γεωργίας, Εθνικό Κτηματολόγιο, κ.ά.).<br />
Διασυνδεμένοι Φορείς στο πρόσθετο έργο ‘Μίνι-Σύζευξις’:<br />
• Επιπλέον 800 σημεία-κτήρια, κυρίως του Υπουργείου Οικονομικών (Δημόσιες Οικονομικές Υ-<br />
πηρεσίες, Τελωνεία, Κτηματικές υπηρεσίες, Χημικές Υπηρεσίες, Υπηρεσίες Δημοσιονομικού<br />
Ελέγχου κ.ά.).<br />
• Επιπλέον 400 κτήρια των Νομαρχιακών Αυτοδιοικήσεων (πλέον των κεντρικών κτηρίων τους<br />
που καλύφθηκαν από το κυρίως έργο).<br />
Βαθμός Διασύνδεσης<br />
Όλα τα σημεία πρόσβασης διασυνδέονται μεταξύ τους σε level 3, δηλαδή βασίζονται στο πρωτόκολλο<br />
ΙΡ. Όλα τα σημεία, ανεξάρτητα από τη νησίδα στην οποία ανήκουν διασυνδέονται μεταξύ<br />
τους αλλά και με εξωτερικά δίκτυα, με ελεύθερη χρήση των εφαρμογών HTTP (εφαρμογές web)<br />
και SMTP-POP3 (εφαρμογές ηλεκτρονικού ταχυδρομείου).<br />
Επιπλέον, τα σημεία πρόσβασης εντός της ίδιας λογικής ομάδας (VPN) διαθέτουν μεγαλύτερο βαθμό<br />
ελευθερίας στη μεταξύ τους διασύνδεση, έτσι ώστε να είναι δυνατή η χρήση επιπλέον εφαρμογών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
121
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Τέλος, είναι δυνατή η ασφαλής επικοινωνία είτε μεταξύ servers-εφαρμογών με τη χρήση SSL, αλλά<br />
και η ασφαλής επικοινωνία μεταξύ χρηστών με τη χρήση προσωπικών ψηφιακών πιστοποιητικών<br />
για ψηφιακή υπογραφή και κρυπτογράφηση.<br />
5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Δεν υφίσταται Μελέτη Ασφάλειας για το δίκτυο ‘Σύζευξις’. Καταγράφονται στη συνέχεια βασικά<br />
ζητήματα που σχετίζονται έμμεσα ή άμεσα με την ασφάλεια του δικτύου ‘Σύζευξις’:<br />
Διαθεσιμότητα Δικτύου:<br />
• Τυπικά βασίζεται εξ ολοκλήρου σε Service Level Agreements μεταξύ της ΚτΠ Α.Ε. και των Α-<br />
ναδόχων.<br />
• Η ευθύνη της καλής λειτουργίας του δικτύου μεταφέρεται στους Αναδόχους, μέσω των όρων<br />
των SLA.<br />
• Ουσιαστικά:<br />
o<br />
o<br />
o<br />
Υπάρχει πλήρης εφεδρεία στις γραμμές κορμού, μερική εφεδρεία στις γραμμές διανομής,<br />
αλλά δεν υπάρχει εφεδρεία στις γραμμές πρόσβασης.<br />
Υπάρχει πρόβλεψη για εφεδρεία στον εξοπλισμό των κεντρικών κόμβων (δηλαδή στα Data<br />
Centers των Παρόχων).<br />
Πρόβλεψη για on-site υποστήριξη και αντικατάσταση στον εξοπλισμό των διασυνδεδεμενων<br />
φορέων.<br />
Εμπιστευτικότητα και Ακεραιότητα:<br />
• Δεν υφίσταται κεντρική υποδομή για παροχή σχετικών υπηρεσιών.<br />
• Υλοποιούνται ασφαλή κανάλια επικοινωνίας από-άκρο-σε-άκρο κατά περίπτωση εφαρμογής.<br />
• Χρήση τεχνολογιών VPN, IPSec, Κρυπτογράφηση με ψηφιακά πιστοποιητικά (πάντα σε επίπεδο<br />
τελική εφαρμογής).<br />
• Χρήση των υπηρεσιών PKI για την υλοποίηση SSL και για την ασφαλή επικοινωνία μεταξύ<br />
χρηστών.<br />
Ταυτοποίηση Χρηστών:<br />
• IP-based ταυτοποίηση (κάθε χρήστης εντός μιας νησίδας θεωρείται έμπιστος).<br />
• Υπάρχει κεντρική υποδομή LDAP, που δεν αξιοποιείται για authentication, αλλά μόνο ως υπηρεσία<br />
ευρετηρίου.<br />
• Η διαχείριση Ταυτοποίησης και Εξουσιοδότησης δεν βασίζεται σε κάποια κεντρική υπηρεσία,<br />
αλλά γίνεται σε επίπεδο εφαρμογής.<br />
Διαχείριση Δικτύου:<br />
• Αποκλειστικά από τους Παρόχους.<br />
• Πρόσβαση Read-only για την ΚτΠ Α.Ε.<br />
• Καμία διαχειριστική δυνατότητα για τους διασυνδεδεμένους φορείς.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
122
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Διασυνδέσεις με εξωτερικά δίκτυα:<br />
• TESTA (Trans-European Services for Telematics between Administrations) με αυστηρή πολιτική<br />
ασφάλειας.<br />
• ΕΔΕΤ: Κυρίως για παροχή υπηρεσιών τηλεφωνίας - δεν αξιοποιείται προς το παρόν. Το ΕΔΕΤ<br />
αντιμετωπίζεται ως ανοικτό δίκτυο.<br />
• Οποιοσδήποτε τρίτος, αλλά και οι νησίδες μεταξύ τους, αντιμετωπίζονται ως ‘Διαδίκτυο’.<br />
• Ύπαρξη άγνωστων διασυνδέσεων σε κτίρια διασυνδεδεμένων φορέων.<br />
Υποδομή Δημόσιου Κλειδιού:<br />
• Θεωρητικά θα αποτελεί τη μοναδική υποδομή ισχυρής ταυτοποίησης χρηστών.<br />
• Παρέχει τα εργαλεία για end-to-end υπηρεσίες ασφάλειας.<br />
• Έχουν ήδη δοθεί σε χρήση τα πρώτα 10.000 ψηφιακά πιστοποιητικά.<br />
• Υποστηρίζεται η κατεύθυνση των PKI-enabled εφαρμογών, αλλά η αξιοποίηση των πιστοποιητικών<br />
σε εφαρμογές βρίσκεται σε πρώιμο στάδιο.<br />
5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής<br />
Το Δίκτυο ‘Σύζευξις’ αποτελεί τη δικτυακή ραχοκοκαλιά και υποστηρίζει έμμεσα ή άμεσα ένα μεγάλο<br />
αριθμό υπηρεσιών της Δημόσιας Διοίκησης. Παρόλο που δεν σχετίζεται άμεσα με τον πολίτη,<br />
ως τελικό χρήστη, ουσιαστικά όλες οι συναλλαγές του πολίτη που σχετίζονται με τις συναλλαγές<br />
με τους φορείς που διασυνδέονται στο Σύζευξις, εξυπηρετούνται από την εν λόγω υποδομή. Χαρακτηριστικά<br />
παραδείγματα της εμβέλειας που έχει το Σύζευξις, όχι μόνο στην επικοινωνία μεταξύ<br />
φορέων, αλλά και μεταξύ Πολιτών και ΔΔ, είναι τα ΚΕΠ, το TAXISnet, τα Τελωνεία και τα Στρατολογικά<br />
γραφεία.<br />
Συνεπώς, το Δίκτυο Σύζευξις υποστηρίζει ταυτόχρονα: α) Υπηρεσίες ΔΔ προς τους πολίτες, β) Υ-<br />
πηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέων της ΔΔ και δ) Επικοινωνία,<br />
με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι λοιπόν σαφές ότι το δίκτυο<br />
Σύζευξις αποτελεί μια από τις σημαντικότερες Υποδομές της Δημόσια Διοίκησης.<br />
5.2.7 Ένταξη στις εθνικές ΠΕY<br />
Το ‘Σύζευξις’ αποτελεί το Εθνικό Δίκτυο της Δημόσιας Διοίκησης και ως εκ τούτου εντάσσεται<br />
στις εθνικές ΠΕΥ, στο πλαίσιο της ανάπτυξης της Κοινωνίας της Πληροφορίας. Το Δίκτυο Σύζευξις<br />
πληροί πολλούς από τους στόχους μιας εθνικής ΠΕΥ, όπως παρακάτω:<br />
Ο εκσυγχρονισμός των υποδομών.<br />
• Η παροχή προηγμένων τηλεματικών υπηρεσιών και υπηρεσιών προστιθέμενης αξίας, όπως οι<br />
προηγμένες υπηρεσίες δικτύωσης, τηλεφωνίας, τηλεδιάσκεψης, τηλεκπαίδευσης, απομακρυσμένης<br />
πρόσβασης, πιστοποίησης και ασφάλειας ηλεκτρονικών συναλλαγών.<br />
• Προώθηση της ευρυζωνικότητας, αφού το ‘Σύζευξις’ αποτελεί το πρώτο εγχείρημα παροχής<br />
ευρυζωνικών τηλεπικοινωνιακών υπηρεσιών μεγάλης κλίμακας στη Ελλάδα.<br />
• Η γεωγραφική διασπορά του έργου, το οποίο διασυνδέει φορείς-χρήστες σε όλη την ελληνική<br />
επικράτεια.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
123
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Η ενιαία, αποδοτική και αποτελεσματική διαχείριση των τηλεπικοινωνιακών δαπανών και η ε-<br />
νίσχυση της ανταγωνιστικότητας στους παρόχους τηλεπικοινωνιακών υπηρεσιών.<br />
5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής<br />
Για την αξιολόγηση του βαθμού κρισιμότητας του Δικτύου Σύζευξις, εφαρμόζονται τα κριτήρια<br />
κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:<br />
• Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της<br />
ποιότητας μιας υπηρεσίας.<br />
• Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της<br />
ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της.<br />
• Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.<br />
• Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική,<br />
γεωγραφική ή λογική εξάρτηση).<br />
• Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά διαστηματα):<br />
η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν<br />
αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη<br />
διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.<br />
• Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην ε-<br />
μπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.<br />
• Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνητικών<br />
φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.<br />
• Προσωπική ασφάλεια: Η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.<br />
• Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσωπικών<br />
ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της<br />
νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.<br />
Η ταξινόμηση των κριτηρίων αυτών περιγράφεται παρακάτω (Πίνακας 11).<br />
Εφαρμόζοντας τα κριτήρια στο ΟΠΣ/Δίκτυο ΣΥΖΕΥΞΙΣ, προκύπτουν τα ακόλουθα στοιχεία:<br />
1. Αριθμός χρηστών. Το Δίκτυο Σύζευξις αποτελεί τη ραχοκοκαλιά, όχι μόνο για την επικοινωνία<br />
μεταξύ φορέων, αλλά και για τις υπηρεσίες που απευθύνονται στους Πολίτες. Συνεπώς οι δυνητικοί<br />
χρήστες του Δικτύου είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική<br />
δυνατότητα και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγορία<br />
κρισιμότητας ‘Πολύ Υψηλή’.<br />
2. Οικονομική Επίπτωση. Το Δίκτυο Σύζευξις δεν υποστηρίζει άμεσες οικονομικές συναλλαγές<br />
και συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμογές<br />
τις οποίες υποστηρίζει. Οι εφαρμογές του Υπουργείου οικονομικών έχουν οικονομικό περιεχόμενο,<br />
αλλά εφόσον οι συναλλαγές έχουν διεκπεραιωτικό χαρακτήρα, δεν εμπεριέχουν άμεσες<br />
συναλλαγές και δεν αφορούν σε εμπορική δραστηριότητα, η επίπτωση κρίνεται ως ‘Χαμηλή’.<br />
3. Εμβέλεια. Το Δίκτυο παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητά του με βάση<br />
τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Υψηλή’.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
124
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κριτήριο<br />
Αριθμός<br />
χρηστών<br />
Επίπτωση<br />
Οικονομική<br />
Επίπτωση<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή<br />
>100,000 άτομα<br />
10,000 έως 100,000<br />
άτομα<br />
1000 έως 10,000<br />
άτομα<br />
100 έως 1,000<br />
άτομα<br />
< 100 άτομα<br />
> €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ.<br />
Εμβέλεια Διεθνής Εθνική Περιφερειακή<br />
Βαθμός<br />
Αλληλοεξάρτησης<br />
Κρισιμότητα<br />
υπηρεσίας<br />
Εμπιστοσύνη<br />
της κοινής<br />
γνώμης<br />
Εφαρμογή<br />
πολιτικής και<br />
λειτουργία<br />
δημόσιου<br />
οργανισμού<br />
Προσωπική<br />
ασφάλεια<br />
Αποκάλυψη<br />
προσωπικών ή<br />
εμπιστευτικών<br />
πληροφοριών<br />
Συντριπτική επίδραση<br />
σε άλλες<br />
υποδομές/τομείς<br />
Υψηλό κόστος σε<br />
περισσότερους<br />
τομείς, Χρόνος<br />
ανάκαμψης πέραν<br />
του έτους<br />
Διεθνής αποδοκιμασία<br />
Σοβαρή παρεμπόδιση/<br />
διακοπή<br />
της ανάπτυξης<br />
και εφαρμογής<br />
κυβερνητικών<br />
πολιτικών<br />
Απώλεια πολλών<br />
ανθρώπινων ζωών<br />
Σημαντική επίδραση<br />
σε άλλες υποδομές/-<br />
τομείς<br />
Υψηλό κόστος, Υψηλός<br />
απαιτούμενος χρόνος<br />
ανάκαμψης (βδομάδες-μήνες)<br />
Χαμηλή κυβερνητική<br />
αξιοπιστία σε εθνικό<br />
επίπεδο<br />
Υποβάθμιση της διαπραγματευτικής<br />
και<br />
συναλλακτικής δυνατοτητας<br />
της κυβέρνησης<br />
Απώλεια ανθρώπινης<br />
ζωής<br />
Αποκάλυψη ε-<br />
Παραβίαση νομοθεσίας,<br />
σοβαρή ενόχλη-<br />
μπιστευτικών κυβερνητικών<br />
πληροφοριώση<br />
πολλών ατόμων<br />
Τοπική (σε Τοπική (σε ένα<br />
πολλούς φορείς) φορέα)<br />
Μέτρια επίδραση σε Μικρή επίδραση<br />
Επίδραση μόνο σε<br />
άλλες υποδομές/ τομείδομές/<br />
σε άλλες υπο-<br />
μία υποδομή/τομέα<br />
τομείς<br />
Μέτριο κόστος, Σημαντικός<br />
Χρόνος<br />
ανάκαμψης (μέρεςβδομάδες)<br />
Μέτρια κυβερνητική<br />
αξιοπιστία σε ε-<br />
θνικό επίπεδο<br />
Παρεμπόδιση της<br />
αποτελεσματικής<br />
ανάπτυξης και ε-<br />
φαρμογής των κυβερνητικών<br />
πολιτικών<br />
Σημαντικός τραυματισμός<br />
σε περισσότερα<br />
άτομα<br />
Παραβίαση νομοθεσίας,<br />
σοβαρή ενόχληση<br />
ενός ατόμου<br />
Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής<br />
Χαμηλό κόστος,<br />
Μικρός απαιτούμενος<br />
χρόνος<br />
ανάκαμψης<br />
(ώρες-μέρες)<br />
Απώλεια καλής<br />
φήμης πολλών<br />
κυβερνητικών<br />
οργανισμών/φορέων<br />
Αμελητέο κόστος,<br />
Μικρός απαιτουμενος<br />
χρόνος ανάκαμψης<br />
(ώρες)<br />
Απώλεια καλής<br />
φήμης ενός κυβερνητικού<br />
οργανισμού/φορέα<br />
Υπονόμευση της<br />
Ανεπαρκής λειτουργία<br />
μέρους ε-<br />
σωστής διαχείρισης<br />
ή/και λειτουργίας<br />
δημο-<br />
νός δημοσίου οργανισμοσίου<br />
οργανισμού<br />
Μικρός τραυματισμός<br />
σε περισ-<br />
Μικρός τραυματισμός<br />
σε ένα άτομο<br />
σότερα άτομα<br />
Μικρή ενόχληση<br />
πολλών ατόμων<br />
Μικρή ενόχληση ε-<br />
νός ατόμου<br />
4. Βαθμός αλληλοεξάρτησης: Το Δίκτυο Σύζευξις αποτελεί τη βασική υποδομή για τη λειτουργία<br />
ενός μεγάλου πλήθους υπηρεσιών της Δημόσιας Διοίκησης. Επιπλέον, έχει ως απώτερο στόχο<br />
την εξυπηρέτηση του συνόλου των υπηρεσιών και εφαρμογών που υποστηρίζουν τη ΔΔ. Συνεπώς<br />
η μη διαθεσιμότητα του Σύζευξις έχει συντριπτική επίπτωση στις υπηρεσίες που υποστηρίζει<br />
και έτσι η κρισιμότητα του Σύζευξις με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται<br />
ως ‘Πολύ Υψηλή’.<br />
5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του Δικτύου θα έχει υψηλό κόστος για τις<br />
υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για πολλές από αυτές δεν υπάρχει εναλλακτικός τρό-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
125
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πος διεκπεραίωσης (π.χ. χειροκίνητη ανταλλαγή δεδομένων). Από την άλλη πλευρά η πιθανότητα<br />
συνολικής μη διαθεσιμότητας του δικτύου είναι μικρή, καθώς το δίκτυο είναι γεωγραφικά<br />
διάσπαρτο, εξυπηρετείται από διαφορετικούς παρόχους, διαθέτει εφεδρεία τηλεπικοινωνιακών<br />
γραμμών και δεν έχει ένα μοναδικό σημείο αποτυχίας. Συνεπώς η κρισιμότητα της υπηρεσίας<br />
χαρακτηρίζεται ‘Χαμηλή’ έως ‘Μέτρια'.<br />
6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένο το εύρος του Δικτύου στις υπηρεσίες ΔΔ και τον<br />
αριθμό των χρηστών του, εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας<br />
του Δικτύου θα επηρέαζε σημαντικά την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς,<br />
η κρισιμότητα του ΟΠΣ με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται<br />
ως ‘Υψηλή’.<br />
7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνητικών<br />
φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβίαση<br />
κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, είναι σημαντική, καθώς θα επηρεαστεί η<br />
ομαλή λειτουργία περισσότερων του ενός φορέα, που πιθανά παρέχει κρίσιμες κυβερνητικές υ-<br />
πηρεσίες. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως<br />
‘Μέτρια’.<br />
8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών<br />
και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πολύ<br />
Χαμηλή’.<br />
9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπιστευτικότητας<br />
των διακινούμενων δεδομένων του Δικτύου και με δεδομένο το μεγάλο πλήθος<br />
των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής νομοθεσίας<br />
ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομένα είναι πιθανό να περιλαμβάνουν<br />
προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κατάστασης, δεδομενα<br />
υγείας, ιδιωτική επικοινωνία κλπ. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτηριο<br />
αυτό χαρακτηρίζεται ως ‘Υψηλή’.<br />
10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ/Δίκτυο ΣΥΖΕΥ-<br />
ΞΙΣ αποτελεί βασικό σημείο επαφής μεγάλου αριθμού χρηστών, σε τεχνολογίες πληροφορικής<br />
και επικοινωνιών της δημόσιας διοίκησης, μέσω της χρήσης νέων τεχνολογιών, εκτιμάται ότι<br />
πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού συνόλου.<br />
Αυτό ενισχύεται και από το γεγονός ότι το ΣΥΖΕΥΞΙΣ εξελίσσεται σε υποδομή υποδομών για<br />
την παροχή ηλεκτρονικών υπηρεσιών. Συνεπώς η κρισιμότητα του ΣΥΖΕΥΞΙΣ, με βάση το<br />
κριτήριο αυτό, χαρακτηρίζεται ως Υψηλή.<br />
5.2.9 Συμπεράσματα<br />
Το δίκτυο ‘Σύζευξις’ αποτελεί τη ραχοκοκκαλιά των ηλεκτρονικών υπηρεσιών της Δημόσιας Διοίκησης.<br />
Το Δίκτυο υποστηρίζει την επικοινωνία μεταξύ των φορέων της ΔΔ μέσω της παροχής προηγμένων<br />
τηλεματικών υπηρεσιών με χαμηλό κόστος. Ταυτόχρονα, εξυπηρετεί έμμεσα τους πολίτες<br />
παρέχοντας την υποδομή για όλες τις ηλεκτρονικές συναλλαγές μεταξύ Πολιτών και ΔΔ.<br />
Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας<br />
κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση<br />
με τον αριθμό των χρηστών και το βαθμό αλληλεξάρτησης, όπως άλλωστε είναι αναμενόμενο,<br />
αφού το Σύζευξις αποτελεί τη βασική υποδομή για μια πληθώρα άλλων εφαρμογών. Υψηλή επίσης<br />
χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια του Δικτύου αλλά και στην Εμπιστοσύνη<br />
της κοινής γνώμης, αφού το Δίκτυο αφορά στο σύνολο της Ελληνικής Επικράτειας. Για τους ίδιους<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
126
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
λόγους (αριθμός χρηστών και εμβέλεια) η επίπτωση κρίνεται ως υψηλή σε σχέση με την αποκάλυψη<br />
εμπιστευτικών ή προσωπικών πληροφοριών.<br />
Χαμηλές έως μέτριες κρίνονται οι οικονομικές επιπτώσεις, η κρισιμότητα της υπηρεσίας και η ε-<br />
φαρμογή της κυβερνητικής πολιτικής, ενώ το Δίκτυο δεν σχετίζεται άμεσα προς το παρόν με ζητηματα<br />
προσωπικής ασφάλειας.<br />
Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το Δίκτυο ‘Σύζευξις’ αποτελεί ‘Κρίσιμη<br />
Υποδομή της Δημόσιας Διοίκησης’.<br />
5.3 TAXISnet<br />
5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας<br />
Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά το<br />
Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας, γνωστό ως TAXIS (TAX <strong>Information</strong> System).<br />
Το TAXIS αποτελεί το μεγαλύτερο έργο πληροφορικής στην Ελλάδα. Υλοποιήθηκε στο πλαίσιο<br />
του Επιχειρησιακού Προγράμματος "Κλεισθένης" του Β' Κ.Π.Σ., ενώ η προσαρμογή των εφαρμογών<br />
στο ευρώ υλοποιήθηκε στο πλαίσιο του Επιχειρησιακού Προγράμματος "Κοινωνία της Πληροφορίας"<br />
του Γ' Κ.Π.Σ. Στοχεύει στον εκσυγχρονισμό και τη βελτίωση της αποτελεσματικότητας<br />
των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών, την πάταξη της φοροδιαφυγής και<br />
τη βέλτιστη εξυπηρέτηση των πολιτών.<br />
Η τεχνολογική υποδομή του TAXIS αποτελείται από ένα ολοκληρωμένο on line δίκτυο 282 περιφερειακών<br />
υπολογιστών (ένας υπολογιστής-server για κάθε ΔΟΥ), 8.600 θέσεων εργασίας κατανεμημένων<br />
στις ΔΟΥ ανάλογα με το μέγεθός τους και ενός κεντρικού υπολογιστικού εξοπλισμού στη<br />
ΓΓΠΣ. Οι εφαρμογές του TAXIS δημιουργήθηκαν με σκοπό να αυτοματοποιήσουν και να αυτοματοποιήσουν<br />
το σύνολο των εργασιών των ΔΟΥ και εγκαταστάθηκαν σταδιακά σε παραγωγή από το<br />
Μάρτιο του 1998 έως τον Σεπτέμβριο του 2001 στο σύνολο των ΔΟΥ (282).<br />
Το σύστημα TAXIS έχει συμβάλει ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού<br />
Συστήματος τόσο σε τοπικό επίπεδο στις ΔΟΥ, όσο και σε επίπεδο κεντρικής διοίκησης. Με<br />
αυτόν τον τρόπο έχει επιφέρει σημαντικές τομές στην Ελληνική Δημόσια Διοίκηση. Ειδικότερα:<br />
Μέσα από το TAXIS θεσπίστηκε διαδικασία κατά την οποία ο φορέας (δημόσιοι οργανισμοί, συμβολαιογράφοι,<br />
τράπεζες κλπ.) ζητά και λαμβάνει αυτόματα Φορολογική Ενημερότητα για λογαριασμό<br />
του συναλλασσόμενου πολίτη. Κατ' αυτόν τον τρόπο, ο πολίτης δεν χρειάζεται να πάει στη<br />
ΔΟΥ, να ζητήσει την έκδοση ενημερότητας και να την προσκομίσει στο φορέα.<br />
Όλοι οι υπάλληλοι των ΔΟΥ, μετά από εκπαίδευση, έγιναν χρήστες του Πληροφοριακού Συστηματος<br />
TAXIS. Για πρώτη φορά, υπάλληλοι μίας υπηρεσίας, όλων των ηλικιών, κατάφεραν να αφομοιώσουν<br />
την τεχνολογία και να χρησιμοποιούν υπολογιστή για τη διεκπεραίωση των εργασιών<br />
τους.<br />
Μετά την ανάπτυξη του Πληροφοριακού Συστήματος TAXIS και τη δημιουργία των αναγκαίων η-<br />
λεκτρονικών υποδομών (Βάσεις Δεδομένων), αναπτύχθηκαν εναλλακτικοί τρόποι εξυπηρέτησης<br />
των πολιτών μέσω ηλεκτρονικών συναλλαγών στο Internet.<br />
Το TAXIS στην παρούσα φάση αναβαθμίζεται σημαντικά (επικαιροποίηση εφαρμογών - ανανέωση<br />
εξοπλισμού), αξιοποιώντας τα νέα τεχνολογικά πρότυπα των τελευταίων ετών τόσο στον τομέα της<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
127
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ανάπτυξης των εφαρμογών, όσο και στον τομέα του εξοπλισμού και της δικτύωσης των Η/Υ, με<br />
σκοπό πάντα την καλύτερη και ταχύτερη εξυπηρέτηση των πολιτών.<br />
Το ΟΠΣ Φορολογίας (TAXIS) που έχει αναπτύξει και λειτουργεί η ΓΓΠΣ παρουσιάζεται συνοπτικά<br />
στη συνέχεια:<br />
Η κεντρική υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω<br />
LAN με το TAXIS WAN (ΕΔΥΟ) και υποστηρίζει τα παρακάτω:<br />
• File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας<br />
• Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS.<br />
• Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server, προκαλεί δε φόρτο και<br />
στο LAN της ΓΓΠΣ.<br />
Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο<br />
FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched-<br />
Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο.<br />
Το υπάρχον σύστημα TAXIS είναι εγκατεστημένο κεντρικά στην ΓΓΠΣ και περιφερειακά σε 282<br />
ΔΟΥ. Περιλαμβάνει 18 υποσυστήματα. Τα υποσυστήματα αυτά διακρίνονται σε δύο μεγάλες κατηγορίες:<br />
• Κάθετης μορφής: Υποστηρίζουν συνήθως τη λειτουργία ενός τμήματος ή γραφείου της ΔΟΥ<br />
(όπως ΦΠΑ, Εισόδημα, ΦΜΑΠ, Δικαστικό, Κεφάλαιο, Πρωτόκολλο, ΚΒΣ, Έλεγχος, Οχήματα<br />
).<br />
• Οριζόντιας μορφής: Περιλαμβάνουν επεξεργασμένες πληροφορίες περισσοτέρων του ενός τμημάτων<br />
της ΔΟΥ (όπως Μητρώο, Έσοδα, Έξοδα, Λοιποί Φόροι, ΑΠΑΑ, Εικόνα φορολογουμενου,<br />
Διασταυρώσεις, Επιθεώρηση).<br />
Η ύπαρξη οριζοντίων υποσυστημάτων που αξιοποιούνται από πολλά άλλα υποσυστήματα, περιορίζει<br />
την δυνατότητα κατάτμησης των εφαρμογών (application partitioning) σε πολλαπλά συστήματα<br />
εξυπηρέτησης.<br />
Τεχνικές προδιαγραφές υποδομής TAXIS<br />
Το σύνολο των τεχνολογιών, όπως αυτές χρησιμοποιούνται παραγωγικά στο Ολοκληρωμένο Πληροφοριακό<br />
Σύστημα Φορολογίας (TAXIS) και οι αντίστοιχες εφαρμογές που έχουν χρησιμοποιηθεί<br />
είναι συνοπτικά οι παρακάτω:<br />
• Αρχιτεκτονική τριών επιπέδων (3 tier architecture).<br />
• Εργαλείο Ανάπτυξης NatStar 2.03.<br />
• Πλατφόρμα Λειτουργίας (Πίνακας 12).<br />
Ειδικά για τον εξοπλισμό του κεντρικού server (NILE 150), ισχύουν τα ακόλουθα:<br />
• Δώδεκα επεξεργαστές R4400 150 MHz.<br />
• Κεντρική μνήμη 3,5 GB.<br />
• Οκτώ υποσυστήματα δίσκων της εταιρείας Pyramid τεχνολογίας SCSI με συνολικά 192<br />
δίσκους των 4.5 GB σε διάταξη RAID-1 συνδεδεμένα μέσω SCSI interface με το σύστημα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
128
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ένα υποσύστημα δίσκων της εταιρείας EMC τεχνολογίας SCSI με συνολικά 20 δίσκους των 36<br />
GB σε διάταξη RAID-1 συνδεδεμένο μέσω SCSI interface με το σύστημα.<br />
• Ελεγκτές δικτύου τύπου FDDI και Ethernet.<br />
Επίσης, ο κεντρικός server συνοδεύεται από τον ακόλουθο περιφερειακό εξοπλισμό:<br />
• Σύστημα Αδιάλειπτης Λειτουργίας (UPS) της εταιρείας SICON 30 KVA.<br />
• Ένας UNIX server που επιτελεί λειτουργίες Systems και Network Management με χρήση του<br />
λογισμικού OpenΜaster της εταιρείας BULL καθώς και του λογισμικού Optivity της Nortel για<br />
την παρακολούθηση της λειτουργίας των συστημάτων και του δικτύου πανελλαδικά.<br />
• Υποσυστήματα Backup.<br />
Ο κεντρικός server, επιτελεί και τα δύο είδη επεξεργασίας (on-line και batch) που απαιτούνται για<br />
την λειτουργία του ΟΠΣ Φορολογίας.<br />
Στο πλαίσιο της υποστήριξης των μηχανογραφικών συστημάτων του, το ΥπΟΟ έχει δημιουργήσει<br />
στην Γενική Γραμματεία Πληροφοριακών Συστημάτων την υποδομή για όλα τα Κεντρικά Συστήματα.<br />
Η υποδομή αυτή καλύπτει σε αυτήν την φάση τις ανάγκες κεντρικής επεξεργασίας για τo Ο-<br />
λοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας (TAXIS), το Ολοκληρωμένο Πληροφοριακό<br />
Σύστημα Τελωνείων (I<strong>CIS</strong>), καθώς και για μία σειρά άλλα έργα (VIES, συντάξεις, μισθοδοσία,<br />
Προσωπικό, Τράπεζα νομικών πληροφοριών, Διαχείριση Αποθηκών κλπ).<br />
Το Κεντρικό Δίκτυο του ΓΓΠΣ που εξυπηρετεί τις ανάγκες δικτύωσης των συστημάτων του έργου<br />
TAXIS είναι βασισμένο στην τεχνολογία FDDI. Με την αρχιτεκτονική dual homing που έχει επιλεγεί<br />
το κεντρικό δίκτυο είναι προστατευμένο σε μεγάλο βαθμό απέναντι σε αστοχίες υλικού, καθώς<br />
για κάθε «μονοπάτι» υπάρχει και ένα τουλάχιστον εναλλακτικό το οποίο μπορεί να χρησιμοποιηθεί<br />
στην περίπτωση που το κύριο μονοπάτι δεν είναι διαθέσιμο για οποιονδήποτε λόγο.<br />
Σε επίπεδο εξοπλισμού το Κεντρικό Δίκτυο της ΓΓΓΠΣ αποτελείται από:<br />
• Τέσσερις δρομολογητές της εταιρείας Bay Networks τύπου BCN οι οποίοι απαρτίζουν το backbone<br />
του WAN δικτύου.<br />
• Δύο FDDI hubs της εταιρείας Nortel τύπου 5000 τα οποία εξυπηρετούν τη δημιουργία του<br />
dual-homing.<br />
• Ένα κεντρικό switch της εταιρείας <strong>CIS</strong>CO τύπου 5000 το οποίο απαιτείται για τη λειτουργία<br />
του κεντρικού δικτύου τεχνολογίας Ethernet 100 Mbits.<br />
• Ένας αριθμός από περιφερειακά switches ορόφων της εταιρείας <strong>CIS</strong>CO τα οποία συνδέονται<br />
στο κεντρικό switch.<br />
• Ένας μεγάλος αριθμός από hubs της εταιρείας <strong>CIS</strong>CO τα οποία συνδέονται στα switches ορόφων.<br />
5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης<br />
Τα συστήματα που έχουν αναπτυχθεί ή βρίσκονται υπό ανάπτυξη από την ΓΓΠΣ (εσωτερικά ή σε<br />
συνεργασία με αναδόχους), καθώς και το αντίστοιχο περιβάλλον ανάπτυξης που χρησιμοποιείται,<br />
αναφέρονται στη συνέχεια (Πίνακας 12).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
129
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σύστημα<br />
Νέο περιβάλλον<br />
TAXIS<br />
Νέο περιβάλλον<br />
TAXISnet<br />
Υπάρχουσες Web ε-<br />
φαρμογές (Φόρος Εισοδήματος,<br />
Περαίωση)<br />
Batch Κεντρικές<br />
Εκτυπώσεις TAXIS<br />
Batch Διαδικασίες<br />
TAXIS<br />
Τεχνολογίες<br />
Ανάπτυξης<br />
Oracle Forms και Reports<br />
10g PL/SQL<br />
(σε μικρό ποσοστό<br />
JSP, JavaScript, html)<br />
J2EE (JSP’s, xml, java<br />
servlets) html, xml, web<br />
services, PL/SQL<br />
J2EE, PL/SQL<br />
Cobol και Oracle Reports<br />
Cobol<br />
Application<br />
Server Platform<br />
Oracle IAS10g<br />
Linux<br />
Oracle IAS10g<br />
Linux<br />
Oracle IAS10g<br />
Linux<br />
Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ<br />
Database/Operating<br />
System<br />
Oracle 10g/UNIX<br />
Oracle 10g/UNIX<br />
Oracle 7.3,4<br />
Oracle 10g/UNIX<br />
Oracle 10g/UNIX<br />
Παράλληλα με τους αυτοτελείς λειτουργικούς και επιχειρησιακούς στόχους που αφορούν την δημιουργία<br />
και αναβάθμιση υποδομών και εφαρμογών για την παροχή ηλεκτρονικών υπηρεσιών στο<br />
πλαίσιο των συστημάτων TAXIS και TAXISnet, αξίζει να σημειωθούν και οι γενικότεροι επιχειρησιακοί<br />
στόχοι της ΓΓΠΣ. Συγκεκριμένα, γενικότερη επιδίωξη της ΓΓΠΣ είναι:<br />
1. Η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης στον πολίτη, στις επιχειρήσεις και στη Δημόσια<br />
Διοίκηση.<br />
2. Η επίτευξη φορολογικής δικαιοσύνης και διαφάνειας.<br />
Για την επίτευξη των παραπάνω στόχων απαιτείται και δρομολογείται με τον παρόν έργο:<br />
• Η σταδιακή ενοποίηση των βάσεων δεδομένων σε όλο το φάσμα των πληροφοριακών συστημάτων<br />
που αναπτύσσει και υποστηρίζει (data integration).<br />
• Η σταδιακή ενοποίηση της διαχείρισης μητρώου χρηστών πληροφοριακών συστημάτων (identity<br />
integration).<br />
• H αξιοποίηση της υπάρχουσας τεχνογνωσίας και εσωτερικού δυναμικού ανάπτυξης με την<br />
χρήση κοινού περιβάλλοντος ανάπτυξης και διαχείρισης εφαρμογών και υπηρεσιών (integrated<br />
development platform).<br />
• Η συγκέντρωση και οργάνωση δεδομένων σε μία κοινή υποδομή αποθήκευσης και διαχείρισης<br />
δεδομένων (datacenter consolidation).<br />
Το έργο δομείται λογικά σε τρεις άξονες:<br />
1. Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ<br />
2. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών<br />
των Πολιτών μέσω διαδικτύου<br />
3. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών<br />
των Πολιτών μέσω ΔΟΥ<br />
Στη συνέχεια, αναλύουμε τον 1 ο άξονα του έργου, που αφορά το Κέντρο Δεδομένων της ΓΓΠΣ.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
130
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Άξονας 1 – Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ<br />
Το σύστημα TAXIS παρέχει πληροφορίες στρατηγικής σημασίας για την Δημόσια Διοίκηση. Σαν<br />
αποτέλεσμα δημιουργείται η ανάγκη για την συστηματική παροχή στοιχείων φορολογίας από το<br />
TAXIS σε ΠΣ που συμπληρώνουν το κύκλωμα φορολογίας (π.χ. TAXISnet), σε άλλα ΠΣ του Υπ-<br />
ΟΟ (Ελεγκτικές Υπηρεσίες, Κεντρικές Υπηρεσίες Φορολογίας, Γενικό Λογιστήριο του Κράτους -<br />
ΓΛΚ) καθώς και σε τρίτους φορείς, βάσει των εξειδικευμένων αναγκών πληροφόρησης που έχει<br />
κάθε Υπηρεσία, διασφαλίζοντας παράλληλα τα ακόλουθα:<br />
• το μακροπρόθεσμο σχεδιασμό που θα λαμβάνει υπόψη την αναμενόμενη εξέλιξη της λειτουργίας<br />
της ΓΓΠΣ ως προς το εύρος των παρεχόμενων υπηρεσιών, το πλήθος των αποδεκτών των<br />
υπηρεσιών και το βάθος χρόνου ιστορικών δεδομένων. (επεκτασιμότητα, διαλειτουργικότητα<br />
υποδομών),<br />
• την συνολική αντιμετώπιση της ανάπτυξης νέων υποδομών της ΓΓΠΣ που θα επιτυγχάνει λειτουργικές<br />
και οικονομικές συνέργειες,<br />
• την ποιοτική και αποτελεσματική εξυπηρέτηση των ΠΣ και την επιχειρησιακή ταχύτητα,<br />
• ασφάλεια, ελεγχόμενη πρόσβαση δεδομένων,<br />
• την ελαχιστοποίηση χειρονακτικών ή μη αυτοματοποιημένων βημάτων μεταφοράς δεδομένων,<br />
καθώς και χρήσης αργών ή αναποτελεσματικών μεθόδων μεταφοράς,<br />
• την διαχείριση της συνεχώς αυξανόμενης ανάγκης για αποθήκευση δεδομένων,<br />
• την αποτελεσματική κεντρική διαχείριση του χώρου αποθήκευσης, που θα εξασφαλίζει υψηλή<br />
διαθεσιμότητα των δεδομένων και την συστηματική αντιμετώπιση κρίσεων (disaster recovery),<br />
• την οικονομική χρήση των υποδομών αποθήκευσης και την οικονομική λειτουργία και τεχνική<br />
υποστήριξη του συστήματος.<br />
Η εγκατεστημένη υποδομή στην ΓΓΠΣ (Datacenter ΓΓΠΣ) εκτιμάται ότι δεν μπορεί να ανταποκριθεί<br />
στις προαναφερθείσες ανάγκες, και πρέπει να αναβαθμιστεί για να εξυπηρετήσει πλήρως το α-<br />
ναπτυξιακό πλαίσιο του ΥπΟΟ.<br />
Η σκοπιμότητα του παρόντος άξονα εντοπίζεται εξετάζοντας τόσο το εσωτερικό όσο και το ευρύτερο<br />
περιβάλλον της ΓΓΠΣ. Εξετάζοντας το εσωτερικό της ΓΓΠΣ, κύριος στόχος είναι η ενίσχυση<br />
της επιχειρησιακής δυναμικότητας της ΓΓΠΣ, στην προσπάθεια ανάπτυξης νέων συστημάτων που<br />
θα καλύψουν το σύνολο των Υπηρεσιών του ΥπΟΟ. Με δεδομένες τις στρατηγικές επιλογές πληροφορικής,<br />
η δημιουργία Κέντρου Δεδομένων αποτελεί προϋπόθεση για την καλύτερη Επιχειρησιακή<br />
Υποστήριξη προς το ΥπΟΟ και την ανταπόκριση στις υποχρεώσεις του έναντι των άλλων<br />
Δημοσίων Φορέων και των Πολιτών. Επιπλέον, μέσω του συγκεκριμένου άξονα επιδιώκεται η υ-<br />
ψηλή διαθεσιμότητα φορολογικών στοιχείων, που διασφαλίζεται από την ανάπτυξη standby βάσης<br />
δεδομένων του TAXIS, από την οποία θα αντλούν στοιχεία τα άλλα ΠΣ και τρίτοι φορείς σε ελεγχόμενο<br />
πλαίσιο. Περαιτέρω, επιδιώκεται η μείωση κόστους λειτουργίας της κεντρικής υποδομής<br />
της ΓΓΠΣ με την αξιοποίηση νέων μεθόδων ανάπτυξης και παραγωγικής λειτουργίας. Τέλος, η<br />
αναβάθμιση του Κέντρου δεδομένων θα συμβάλλει στην αποδοτικότερη αξιοποίηση του Ανθρώπινου<br />
Δυναμικού της ΓΓΠΣ με την υιοθέτηση τεχνολογιών αιχμής και μεθόδων που περιορίζουν εργασίες<br />
χαμηλής προστιθέμενης αξίας και επιτρέπουν την εστίαση σε αναπτυξιακό έργο. Η κεντρική<br />
υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω LAN με το<br />
TAXIS WAN και υποστηρίζει τα παρακάτω:<br />
• File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
131
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS.<br />
• Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server.<br />
Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο<br />
FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched-<br />
Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο.<br />
5.3.3 TAXISnet<br />
Το έργο TAXISnet στο σύνολο του αφορά στην αναβάθμιση του εναλλακτικού καναλιού εξυπηρέτησης<br />
και διεκπεραίωσης συναλλαγών των πολιτών σε θέματα και πράξεις φορολογικού αντικειμένου.<br />
Το έργο εκμεταλλεύεται σύγχρονες τεχνολογίες παροχής διαδικτυακών υπηρεσιών, αξιοποιώντας<br />
τις δυνατότητες που παρέχει το πληροφοριακό σύστημα TAXIS για ανάπτυξη υπηρεσιών<br />
προστιθέμενης αξίας για τον οργανισμό και τον πολίτη.<br />
Γενικότερα, το έργο αφορά στην αναβάθμιση της επιχειρησιακής ικανότητας της κεντρικής υποδομής<br />
της ΓΓΠΣ με αξιοποίηση τεχνολογιών αιχμής και συγκεκριμένα την μετάβαση από το μοντέλο<br />
της διασποράς των δεδομένων και των εφαρμογών, που υιοθετήθηκε την προηγούμενη δεκαετία,<br />
σε ένα κεντρογενές μοντέλο.<br />
ΑΝΑΘΕΤΟΥΣΑ ΑΡΧΗ<br />
ΤΙΤΛΟΣ ΕΡΓΟΥ<br />
ΦΟΡΕΑΣ ΓΙΑ ΤΟΝ ΟΠΟΙΟ<br />
ΠΡΟΟΡΙΖΕΤΑΙ ΤΟ ΕΡΓΟ<br />
ΤΟΠΟΣ ΠΑΡΑΔΟΣΗΣ –<br />
ΤΟΠΟΣ ΠΑΡΟΧΗΣ<br />
ΥΠΗΡΕΣΙΩΝ<br />
ΕΙΔΟΣ ΣΥΜΒΑΣΗΣ<br />
ΕΙΔΟΣ ΔΙΑΔΙΚΑΣΙΑΣ<br />
ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ<br />
ΧΡΗΜΑΤΟΔΟΤΗΣΗ<br />
ΕΡΓΟΥ<br />
ΧΡΟΝΟΣ ΥΛΟΠΟΙΗΣΗΣ –<br />
ΔΙΑΡΚΕΙΑ ΕΡΓΟΥ<br />
«Κοινωνία της Πληροφορίας Α.Ε.» (ΚτΠ Α.Ε.)<br />
«TAXISnet:Εξοπλισμός-Κέντρο Διαχείρισης Δεδομένων Γ.Γ.Π.Σ»<br />
ΥΠΟΥΡΓΕΙΟ OIKONΟΜΙΑΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ<br />
Χώροι του ΥΠΟΟ πανελλαδικά<br />
Προμήθεια και εγκατάσταση Εξοπλισμού Πληροφορικής και Λογισμικού<br />
Ταξινόμηση κατά CPV: 30.25.00.00-6 Συστήματα Ηλεκτρονικών Υπολογιστών<br />
(Κωδικός CPA 30.30.0.30.02).<br />
Ανοικτός Διαγωνισμός με κριτήριο ανάθεσης την πλέον συμφέρουσα από<br />
οικονομική άποψη Προσφορά<br />
Ο συνολικός προϋπολογισμός του έργου ανέρχεται στο ποσό των<br />
7.776.440,64 €, συμπεριλαμβανομένου ΦΠΑ 19%.<br />
Το έργο χρηματοδοτείται από το Επιχειρησιακό Πρόγραμμα «Κοινωνία της<br />
Πληροφορίας», στο πλαίσιο του Γ’ ΚΠΣ, σε ποσοστό 75% από το ΕΤΠΑ<br />
και 25% από Εθνικούς Πόρους. Οι δαπάνες του έργου βαρύνουν το Πρόγραμμα<br />
Δημοσίων Επενδύσεων, ΣΑΕ 2003ΣΕ05130003<br />
9 μήνες από την υπογραφή της Σύμβασης<br />
Πίνακας 13: Ταυτότητα έργου TAXISnet<br />
Στόχος του συγκεκριμένου έργου είναι η υλοποίηση της απαραίτητης υποδομής για την παροχή<br />
των ηλεκτρονικών υπηρεσιών φορολογικής εξυπηρέτησης του Πολίτη, ώστε να επιτυγχάνεται η ταχεία<br />
και αποτελεσματική εξυπηρέτηση του φορολογουμένου, τόσο μέσω των ΔΟΥ όσο και μέσω<br />
του Διαδικτύου.<br />
Αναλυτικότερα οι γενικοί στόχοι της ΓΓΠΣ συνοψίζονται στα εξής:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
132
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Αντικατάσταση όλης της κεντρικής υποδομής (servers, storage, εσωτερικό δίκτυο), με νέα η ο-<br />
ποία θα έχει χαρακτηριστικά υψηλής διαθεσιμότητας, μεγάλης κλιμάκωσης-επεκτασιμότητας<br />
και αυξημένης απόδοσης και θα μπορεί να υποστηρίξει τα:<br />
o<br />
o<br />
Ενοποίηση (Consolidation) των υπαρχόντων servers της ΓΓΠΣ.<br />
Συγκέντρωση όλων των δεδομένων σε αποθηκευτική υποδομή (SAN), που θα μοιράζει<br />
αποθηκευτικούς χώρους δεδομένων σε όλους τους servers της ΓΓΠΣ.<br />
• Ενίσχυση της ασφάλειας πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα του ΥπΟΟ<br />
που φιλοξενούνται στη ΓΓΠΣ.<br />
• Κεντρικό έλεγχο -διαχείριση των συστημάτων, δικτύων και εφαρμογών.<br />
• Ομογενοποίηση των περιβαλλόντων ανάπτυξης και εκμοντερνισμός των εφαρμογών.<br />
• Ομογενοποίηση του λογισμικού περιβάλλοντος των συστημάτων.<br />
• Ενοποίηση του εσωτερικού δικτύου του ΥπΟΟ (ΙΝΤRΑΝΕΤ) με το Διαδίκτυο (INTERNET).<br />
• Ενοποίηση της βάσης φορολογικών δεδομένων που εξυπηρετεί τους χρήστες του INTERNET<br />
με αυτή που εξυπηρετεί τους χρήστες του INTRANET (μετά την ενίσχυση της ασφάλειας).<br />
• Δημιουργία disaster site και εκπόνηση σχεδίου συνέχειας της υπηρεσίας μετά από καταστροφή.<br />
Τα ανωτέρω πρόκειται να επιχειρηθούν σταδιακά και με προσοχή χωρίς να διαταραχθούν οι παρεχόμενες<br />
σήμερα υπηρεσίες και χωρίς να τροποποιηθούν οι υπάρχουσες εφαρμογές που θα συνυπάρχουν<br />
μέχρι να αντικατασταθούν από τις εφαρμογές νέας φιλοσοφίας που αναπτύσσονται ή θα<br />
αναπτυχθούν.<br />
Στο πλαίσιο του νέου TAXISnet, αναμένεται να υλοποιηθούν τα ακόλουθα:<br />
• Η αναβάθμιση του τοπικού δικτύου της ΓΓΠΣ.<br />
• Η αντικατάσταση των βασικών κεντρικών OLTP RDBMS servers του TAXIS με νέους, ισχυρότερους,<br />
υψηλής διαθεσιμότητας και επεκτασιμότητας.<br />
• Η προμήθεια των βασικών κεντρικών RDBMS servers του συστήματος ΤaxisNet, που θα εξασφαλίσουν<br />
υψηλή διαθεσιμότητα και επεκτασιμότητα.<br />
• Η δημιουργία κεντρικού αποθηκευτικού χώρου δεδομένων (SAN) που θα εξυπηρετεί τόσο τους<br />
υπό προμήθεια servers όσο και τους μελλοντικούς.<br />
• Η διαμόρφωση του SAN για τη βέλτιστη αξιοποίησή του.<br />
• Η προμήθεια Back-up συστήματος.<br />
• Η προμήθεια συστοιχίας Web/Application/LDAP servers, Δικτυακών συσκευών, Firewalls,<br />
IDSs, κλπ, για το TAXISnet και τη νέα έκδοση του Taxis, που βρίσκεται υπό ανάπτυξη.<br />
• Η προμήθεια λογισμικού κεντρικής διαχείρισης συστημάτων και δικτύων.<br />
• Η διαμόρφωση των RDBMS εξυπηρετών όσον αφορά την κατανομή των resources σε επιμέρους<br />
λογικά συστήματα, ένα από τα οποία, το μεγαλύτερο, θα εξυπηρετεί τις OLTP ανάγκες<br />
του οργανισμού (TAXIS, VIES), ένα θα εξυπηρετεί το TAXISnet, ένα θα εξυπηρετεί ανάγκες<br />
ανάπτυξης και ελέγχου και ένα θα εξυπηρετεί ένα σύνολο από τις υπόλοιπες εφαρμογές της<br />
ΓΓΠΣ (συντάξεις, μισθοδοσία, προσωπικό, αποθήκες, τράπεζα νομικών πληροφοριών κλπ.).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
133
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Η μετάπτωση (porting) των υπόλοιπων εφαρμογών θα πραγματοποιηθεί αργότερα με αποκλειστική<br />
ευθύνη της υπηρεσίας.<br />
• Η μεταφορά των υπαρχόντων βάσεων δεδομένων των TAXIS και VIES από την τρέχουσα<br />
πλατφόρμα εγκατάστασης στο υπό προμήθεια SAN με ευθύνη του αναδόχου και με τη συνεργασία<br />
των στελεχών της ΓΓΠΣ.<br />
• Η μεταφορά των εφαρμογών από τα αντικαθιστώμενα κεντρικά συστήματα των TAXIS και<br />
VIES στα νέα.<br />
Για τις εφαρμογές αυτές σημειώνεται ότι:<br />
1. Στα κεντρικά αυτά συστήματα, κυρίως σήμερα, εκτός· από τις TUXEDO εφαρμογές που εξυπηρετούν<br />
την ανταλλαγή δεδομένων μεταξύ του κέντρου και των περιφερειακών υπηρεσιών ε-<br />
κτελούνται batch εφαρμογές που είναι γραμμένα σε COBOL, C, shell scripts ή sql scripts.<br />
2. Το λογισμικό υποδομής των νέων servers θα αποτελείται από τις νεότερες κατά το δυνατόν εκδόσεις,<br />
τόσο του προσφερόμενου λειτουργικού συστήματος (σύμφωνα με τις αντίστοιχες απαιτησεις),<br />
όσο και της ORACLE (οι εκδόσεις της Oracle θα είναι τουλάχιστον 10g και θα τις παραδώσει<br />
η υπηρεσία στον Ανάδοχο). Η μεταφορά των batch εφαρμογών στο νέο περιβάλλον<br />
καθώς και η επίλυση τυχόν ασυμβατοτήτων θα γίνει με ευθύνη του αναδόχου.<br />
3. Οι εφαρμογές του VIES είναι γραμμένες σε SQL Forms/Reports και λειτουργούν σε περιβάλλον<br />
Oracle Application Server 10g. Θα εγκατασταθούν στους νέους Application Servers (η έκδοση<br />
του Oracle Application Server θα είναι τουλάχιστον 10g και θα την παραδώσει η υπηρεσία<br />
στον Ανάδοχο). Στο VIES περιλαμβάνονται και on line C εφαρμογές (CCN/CSI) που θα<br />
μεταφερθούν στο κεντρικό σύστημα.<br />
4. Οι εφαρμογές της Φορολογίας Φυσικών Προσώπων και Περαίωσης που αποτελούν μέρος του<br />
Taxis και θα πρέπει να μεταφερθούν στα νέα web/application συστήματα. Οι εφαρμογές αυτές<br />
είναι αναπτυγμένες σε περιβάλλον J2EE και λειτουργούν σε περιβάλλον Οracle application<br />
server 10g.<br />
• Η προμήθεια ενός πρόσθετου RDBMS εξυπηρέτη και ενός δεύτερου μικρότερου σε χωρητικότητα<br />
SAN. Τα δύο αυτά στοιχεία επιθυμία της υπηρεσίας είναι να αποτελέσουν τη βάση δημιουργίας<br />
ενός disaster site. Ο ανάδοχος ζητείται να εκπονήσει μια μελέτη για τη δημιουργία και<br />
λειτουργία του disaster site όσο και σχεδίου συνέχειας της λειτουργίας της υπηρεσίας σε περίπτωση<br />
καταστροφής. Στη μελέτη αυτή ζητείται να αξιολογηθεί η αξιοποίηση των δύο αυτών<br />
στοιχείων και να δοθούν προδιαγραφές και κόστος για οτιδήποτε άλλο χρειάζεται σε Hardware<br />
και Software. Ο Φορέας υλοποίησης σε εύλογο χρονικό διάστημα δικαιούται αν το επιθυμεί να<br />
προχωρήσει στην υλοποίηση της πρότασης εφόσον εξασφαλίσει τους κατάλληλους χώρους,<br />
τους πόρους και τη δικτυακή υποδομή που θα προταθεί στη μελέτη ασφάλειας.<br />
• Η παροχή της εκπαίδευσης που απαιτείται καθώς και της υποστήριξης για το διάστημα παραγωγικής<br />
λειτουργίας του συστήματος.<br />
• Ο ανάδοχος ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση του εσωτερικού δικτύου<br />
της ΓΓΠΣ με το Internet καθώς και μελέτη Business Continuity Plan - Disaster Recovery<br />
Plan (BCP-DRP). Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ<br />
και βάσει των αποτελεσμάτων της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο<br />
πλαίσιο του παρόντος έργου τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσωτερικού<br />
δικτύου της ΓΓΠΣ με το Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
134
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Στα επόμενα σχήματα (Σχήμα 21, Σχήμα 22, Σχήμα 23) αποτυπώνεται ενδεικτικά η αρχιτεκτονική<br />
του νέου ΟΠΣ Taxis (μακροσκοπική και λεπτομερέστερη θεώρηση, αντίστοιχα).<br />
5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet<br />
Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά<br />
πληροφοριακά συστήματα που επιτρέπουν τη διεκπεραίωση συναλλαγών, τη χορήγηση εγγράφων<br />
και την παροχή πληροφοριών, μέσω του Internet. Αποτελέσματα αυτής της επιλογής είναι η συνεχής<br />
βελτίωση της εξυπηρέτησης των φορολογουμενων, πολιτών και επιχειρήσεων και η απλούστευση<br />
των ακολουθούμενων διαδικασιών. Παράλληλο όφελος είναι η εξοικονόμηση πόρων, με<br />
την απαλλαγή των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών από χρονοβόρες συναλλαγές.<br />
Τα επιμέρους πληροφοριακά συστήματα της ΓΓΠΣ και εφαρμογές που παρέχουν ηλεκτρονικές υ-<br />
πηρεσίες και αποβλέπουν στην ένταξη των πολιτών στο επίκεντρο της εξυπηρέτησης, συνιστούν το<br />
ΝΕΟ TAXISnet.<br />
ΝΕΟ TAXISnet<br />
• Υποβολή δηλώσεων μέσω ηλεκτρονικού υπολογιστή, χωρίς να είναι απαραίτητη η παρουσία<br />
του φορολογουμένου στη ΔΟΥ<br />
• Αποσυμφόρηση των ΔΟΥ, λόγω της μειωμένης προσέλευσης των πολιτών σε αυτές, με απότέλεσμα<br />
τη βελτίωση της εξυπηρέτησης του πολίτη.<br />
• Υποβολή δηλώσεων σε 24ωρη βάση, 7 μέρες την εβδομάδα.<br />
• Άμεση επικοινωνία και ενημέρωση του πολίτη μέσω ηλεκτρονικού ταχυδρομείου.<br />
• Αποτελεσματική προστασία όλων των διακινούμενων στο Internet προσωπικών δεδομένων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
135
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ISPs<br />
ISPs<br />
Internet<br />
Σχήμα 21: Data Center ΓΓΠΣ<br />
Web<br />
Υποδομή<br />
Internet<br />
SAN<br />
TAXIS cluster<br />
TaxisNet cluster<br />
Web<br />
Υποδομή<br />
Intranet<br />
DB server 1<br />
TaxisNet<br />
DB<br />
DB server 2<br />
Taxis<br />
DB<br />
Σταθμός<br />
Διαχείρισης<br />
SAN<br />
DB server 3<br />
Stand by<br />
TaxisDB<br />
DB servers<br />
Νέων ΠΣ<br />
Σύστημα Backup<br />
(Tape Library)<br />
WAN - ΣΥΖΕΥΞΙΣ<br />
(VPN-MPLS)<br />
High Speed LAN<br />
ΔΟΥ<br />
File και Print<br />
server<br />
UPS Υψηλής<br />
Διαθεσιμότητας<br />
Web Εφαρμογές<br />
TAXIS<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
Τρίτοι<br />
Φορείς<br />
Τρίτοι<br />
Φορείς<br />
136
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ISP1<br />
ISP2<br />
ΕΝΔΕΙΚΤΙΚΗ<br />
ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΥΠΟΔΟΜΗΣ<br />
Π.Σ.TAXISnet<br />
(INTERNET)<br />
ROUTER 1 ROUTER 2<br />
ISP LLB<br />
ISP LLB<br />
OUTSIDE DMZs<br />
DMZ 4<br />
ΓΓΠΣ USERS<br />
FIREWALL 1<br />
FIREWALL 2<br />
DMZ 1 DNS<br />
I<br />
D<br />
S<br />
1<br />
DMZ 3 HTTP SERVERS<br />
DMZ 2<br />
MAIL<br />
L.BALANCER<br />
L.BALANCER<br />
IDS 4<br />
SSL ACCELERATION<br />
HTTP SERVERS<br />
I<br />
D<br />
S<br />
2<br />
FIREWALL 3<br />
FIREWALL 4<br />
INSIDE DMZs<br />
DMZ 4<br />
ΓΓΠΣ<br />
ADMINISTRATORS<br />
DMZ 1<br />
DB SERVERS<br />
DMZ 2<br />
LDAP SERVERS<br />
DMZ 3<br />
APP. SERVERS<br />
IDS 3<br />
Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
137
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
INTRANET<br />
WAN<br />
‘ΣΥΖΕΥΞΙΣ’<br />
ΕΝΔΕΙΚΤΙΚΗ<br />
ΑΡΧΙΤΕΚΤΟΝΙΚΗ<br />
ΥΠΟΔΟΜΗΣ<br />
DATACENTER<br />
(INTRANET)<br />
Routers<br />
Switch Διανο<br />
Core Switches<br />
DMZ 1<br />
DNS<br />
DMZ 2<br />
MAIL<br />
I<br />
D<br />
S<br />
1<br />
χ<br />
Virtual Firewalls, Load B<br />
SSL Accelerators<br />
DMZ 3<br />
HTTP<br />
DMZ 4<br />
ΓΓΠΣ USERS<br />
Virtual Firewalls<br />
OUTSIDE DMZs<br />
IDS 4<br />
Virtual Firewalls<br />
INSIDE DMZs<br />
DMZ 4<br />
ΓΓΠΣ<br />
ADMINISTRATOR<br />
DMZ 1<br />
DB SERVERS<br />
DMZ 2<br />
LDAP SERVERS<br />
DMZ 3<br />
APP. SERVERS<br />
I<br />
D<br />
S<br />
2<br />
IDS 3<br />
Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet<br />
Ηλεκτρονικές Υπηρεσίες που παρέχονται μέχω του Νέου ΤΑΧΙSnet<br />
Στο εξής περιγράφονται οι βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκησης 56,57 που παρέχει<br />
το Νέο TAXISnet, ενώ το επίπεδο εξέλιξης της κάθε υπηρεσίας αποτιμάται με βάση την κλίμακα:<br />
1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες<br />
2. Μονόδρομη Επικοινωνία (downloading εντύπων)<br />
3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση)<br />
4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής)<br />
5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών)<br />
56 European Commission, eGovernment Factsheets, “eGovernment in Greece”, Version 9.0, December 2007.<br />
57 Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”,<br />
Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
138
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Προς τους<br />
πολίτες<br />
Προς τις<br />
επιχειρήσεις<br />
ΥΠΗΡΕΣΙΑ<br />
Φόρος Εισοδήματος (δήλωση,<br />
ειδοποίηση εκκαθάρισης)<br />
Παρέχεται;<br />
Επίπεδο<br />
εξέλιξης<br />
√ 4<br />
Πλήθος χρηστών<br />
Εγγεγραμμένοι:<br />
2.000.000<br />
Υπέβαλλαν: 600.000<br />
Υπηρεσίες αναζήτησης εργασίας<br />
Εισφορές κοινωνικής ασφάλισης<br />
Προσωπικά έγγραφα<br />
(διαβατήρια, άδειες οδήγησης)<br />
Έκδοση οικοδομικής άδειας<br />
Δημόσιες βιβλιοθήκες<br />
(διαθεσιμότητα, εργαλεία<br />
αναζήτησης)<br />
Πιστοποιητικά (έκδοση,<br />
παραλαβή)<br />
√ 4 600.000<br />
Ανώτατη εκπαίδευση<br />
Υπηρεσίες υγείας<br />
(διαθεσιμότητα, ραντεβού)<br />
Εισφορές κοινωνικής ασφάλισης<br />
για τους εργαζομένους<br />
Φόρος επιχειρήσεων (δήλωση,<br />
ειδοποίηση εκκαθάρισης)<br />
ΦΠΑ επιχειρήσεων (δήλωση,<br />
ειδοποίηση εκκαθάρισης)<br />
√ 4 1.000.000<br />
Έναρξη επιχείρησης<br />
Υποβολή στοιχείων σε<br />
στατιστικές υπηρεσίες<br />
Περιβαλλοντικές άδειες<br />
ΦΜΥ √ 4 1.000.000<br />
Τελωνεία – Σύστημα VIES √ 4<br />
Υπολογισμός Αξίας Ακινήτου √ 1<br />
Παρέχεται προς<br />
όλους<br />
Στοιχεία Οχημάτων √ 1<br />
Παρέχεται προς<br />
όλους<br />
Έντυπα √ 2<br />
Παρέχεται προς<br />
όλους<br />
Έκδοση Φορολογικής<br />
Παρέχεται προς<br />
√ 1<br />
Ενημερότητας<br />
όλους<br />
Ενημέρωση Εκκαθάρισης<br />
Παρέχεται προς<br />
√ 1<br />
Δήλωσης στο κινητό τηλέφωνο<br />
όλους<br />
Ενημέρωση Εκκαθάρισης<br />
Δήλωσης<br />
√ 1<br />
Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης<br />
Παρέχεται προς<br />
όλους<br />
Θα πρέπει να σημειωθεί ότι δεν υπάρχει συστηματικός τρόπος παρακολούθησης της κίνησης των ε-<br />
πισκεπτών για τις παρεχόμενες πληροφοριακές υπηρεσίες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
139
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.3.5 Υφιστάμενο επίπεδο ασφάλειας<br />
Έχει διεξαχθεί ανάλυση επικινδυνότητας του TAXIS από ειδική Πανεπιστημιακή Ομάδα (Οικονομικό<br />
Πανεπιστήμιο Αθηνών), η οποία είναι σε ισχύ. Επιπρόσθετα, υπάρχει καταγεγραμμένη πολιτική<br />
και μετρα ασφάλειας που συνδέονται με την ανάλυση επικινδυνότητας. Η εφαρμογή των σχετικών<br />
μετρων γίνεται μερικώς. Δεν είναι γνωστή αντίστοιχη καταγεγραμμένη ανάλυση/πολιτική/μετρα<br />
ασφάλειας για το TAXISnet.<br />
Ο ανάδοχος του έργου του Data Center ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση<br />
του εσωτερικού δικτύου της ΓΓΠΣ με το Internet καθώς και μελέτη BCP-DRP.<br />
Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ και βάση των αποτελεσμάτων<br />
της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο πλαίσιο του παρόντος έργου<br />
τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσωτερικού δικτύου της ΓΓΠΣ με το<br />
Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια.<br />
Οι ανάδοχοι για το έργο του Τεχνικού Συμβούλου Υποστήριξης (ΤΣΥ) είναι η Διαδικασία και το<br />
ΕΠΙΣΕΥ. Το έργο εκτιμάται ότι θα ολοκληρωθεί στις αρχές του 2009.<br />
5.3.5.1 Ανάλυση πληροφοριακού κινδύνου<br />
Δεν υπάρχει επικαιροποιημένη μελέτη Αποτίμησης Επικινδυνότητας του συνολικού συστήματος<br />
TAXIS και TAXISnet με τις όποιες προσθήκες και βελτιώσεις τους. Η πλήρης και επικαιροποιημενη<br />
μελέτη θα γίνει από τον ανάδοχο του έργου του Data Center. Η τελική κατακύρωση του έργου<br />
έχει παραπεμφθεί στο ελεγκτικό συμβούλιο και εκκρεμεί (Μάιος 2008).<br />
Σύνταξη και εφαρμογή Πολιτικής Ασφάλειας<br />
Υπάρχει η πολιτική ασφάλειας, αλλά η εφαρμογή της γίνεται μερικώς και δεν υπάρχει επαρκής κεντρικός<br />
συντονισμός. Υπάρχει τυπικά η έννοια του System Owner, ενώ υπάρχουν και άλλοι υπεύθυνοι<br />
ανάλογα με τα συγκεκριμένα τμήματα που χειρίζονται τα διαφορετικά υποσυστήματα. Δεν<br />
υπάρχει καταγεγραμμένη θέση <strong>Security</strong> Officer, ενώ δεν υπάρχουν καταγεγραμμένοι ρόλοι, υπευθυνότητες<br />
και αρμοδιότητες κλπ., οι οποίοι να τηρούνται επαρκώς.<br />
Υλοποιημένα μέτρα ασφάλειας<br />
Το TAXISnet θα υλοποιηθεί με την ίδια τεχνολογία για όλες τις συνιστώσες του και συνολική,<br />
κεντρικοποιημένη προσέγγιση. Στην προηγούμενη κατάσταση (TAXIS και TAXISnet σαν ξεχωριστά<br />
συστήματα) υπήρχαν δύο υπεύθυνοι συστημάτων. Το Τμήμα Πληροφορικής και οι τεχνικοί υ-<br />
πεύθυνοι τμημάτων υλοποιούν τα όποια μέτρα ασφάλειας είναι σε ισχύ.<br />
Δεν υπάρχει τμήμα Εσωτερικού Ελέγχου (που να διενεργεί ταυτόχρονα και ελέγχους ΠΣ) ή άτυπη<br />
ομάδα μέχρι τώρα με αυτά τα καθήκοντα. Αυτή η ανάγκη εντοπίστηκε στη μελέτη ενοποίησης συστημάτων.<br />
Τέλος, σχετικά με τον εξωτερικό έλεγχο ασφάλειας, δικτύων κλπ, θα πραγματοποιηθούν κάποια<br />
vulnerability tests στο πλαίσιο του έργου του Συμβούλου (όταν το νέο σύστημα υλοποιηθεί).<br />
5.3.5.2 Σχέδιο Ανάκαμψης από Καταστροφή – Σχέδιο Συνέχειας Λειτουργίας<br />
Στο RFP για το Datacenter έχει προδιαγραφεί μελέτη με αντικείμενο το απαιτούμενο Βusiness<br />
Continuity Plan και disaster center της ΓΓΠΣ, και Εκπόνηση Σχεδίου Ανάκαμψης από Κατάστροφές<br />
(Disaster Recovery Plan). Στο υποσύστημα Διαχείρισης Δεδομένων έχουν προδιαγραφεί:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
140
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
1. Υποδομή αποθήκευσης δεδομένων SAN (Storage Area Network) καθώς και δεύτερο για τις<br />
ανάγκες δημιουργίας ενός κέντρου Disaster Recovery.<br />
2. Λογισμικό ασφάλειας, λογισμικό διαχείρισης του SAN.<br />
3. Backup unit υψηλών επιδόσεων που θα αναλάβει το backup του συνόλου των ωφέλιμων δεδομενων<br />
που αποθηκεύονται στο SAN, και λογισμικό διαχείρισης backup μέσω SAN.<br />
Οι απαιτήσεις για υψηλή διαθεσιμότητα για το TAXISnet είναι καθολικές καθ’ όλη τη διάρκεια του<br />
έτους, αλλά πολύ περισσότερο κατά το διάστημα της υποβολής φορολογικών δηλώσεων (κύρια<br />
κατά την περίοδο Μαρτίου-Μαΐου κάθε έτους).<br />
Σαν εναλλακτική τοποθεσία του συστήματος σε περίπτωση καταστροφής (backup site) ενδέχεται<br />
να προταθεί χώρος ιδιοκτησίας του Υπουργείου Οικονομίας και Οικονομικών.<br />
Διασυνδέσεις με άλλα συστήματα και δίκτυα:<br />
• Κεντρικό σύστημα Τελωνείων (I<strong>CIS</strong>) με το Ευρωπαϊκό σύστημα διασυνοριακής μετακόμισης<br />
εμπορευμάτων. Η ανταλλαγή δεδομένων γίνεται μέσω EDIFACT μηνυμάτων με το σύστημα<br />
διαμετακόμισης / TIR / Carnet ATA. Η υλοποίηση της ηλεκτρονικής επικοινωνίας του I<strong>CIS</strong> με<br />
την Ε.Ε. επιτυγχάνεται με προγράμματα και scripts σε C με κλήσεις στο CCN/CSI (CCN/CSI<br />
libraries).<br />
• Εσωτερική διασύνδεση TAXIS – TAXISNET.<br />
• Εσωτερική διασύνδεση ΔΟΥ με ΓΓΠΣ – TAXIS.<br />
• Εσωτερική διασύνδεση Τελωνείων με ΓΓΠΣ – I<strong>CIS</strong>.<br />
Εξάρτηση από τρίτους φορείς για παροχή υπηρεσιών:<br />
Το TAXIS εξαρτάται από τρίτους φορείς για την παροχή υπηρεσιών μόνο όσον αφορά τη δικτυακή<br />
υποδομή διασύνδεσης (ΣΥΖΕΥΞΙΣ) με της αποκεντρωμένες υπηρεσίες για ΔΟΥ και Τελωνεία που<br />
λειτουργεί από εταιρείες του ιδιωτικού τομέα (ALTEC TELECOMS, FORTHNET, HOL, OTE).<br />
Υπαγωγή σε ρυθμιστικούς / ελεγκτικούς / εποπτικούς φορείς:<br />
Τα TAXIS-TAXISNET υπόκεινται στην εφαρμογή Κανονιστικών/Ρυθμιστικών πλαισίων των κάτωθι<br />
ρυθμιστικών /ελεγκτικών/εποπτικών φορέων:<br />
Φορέας<br />
Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών<br />
(ΑΔΑΕ)<br />
Αρχή Προστασίας Δεδομένων Προσωπικού<br />
Χαρακτήρα (ΑΠΠΔ)<br />
Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων<br />
(ΕΕΤΤ)<br />
Λόγος υπαγωγής<br />
Λειτουργία του δικτύου<br />
Φορολογικά στοιχεία που υποβάλλονται<br />
Πάροχοι υπηρεσιών δικτύου<br />
5.3.5.3 Ένταξη σε στρατηγικό πλαίσιο προστασίας κρίσιμων υποδομών<br />
Δεν υπάρχει παρόμοια δράση ή πρόβλεψη ένταξης σε σχετική δράση για το άμεσο μέλλον.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
141
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις<br />
Συνοπτικά, οι ελλείψεις και οι προτεινόμενες δράσεις για τα TAXIS – TAXISnet καταγράφονται<br />
ως εξής:<br />
Έλλειψη<br />
Ένταξη σε στρατηγικό πλαίσιο προστασίας<br />
κρίσιμων υποδομών<br />
Επικαιροποιημένη Αποτίμηση Επικινδυνότητας,<br />
Πολιτική Ασφάλειας και Μέτρα Ασφάλειας<br />
Εσωτερικός Έλεγχος<br />
Περιοδικοί έλεγχοι επάρκειας υλοποίησης<br />
μέτρων ασφάλειας<br />
Προτεινόμενες δράσεις<br />
Να ενταχθεί σε σχετικό πλαίσιο.<br />
Επικαιροποίηση της Αποτίμησης Επικινδυνότητας,<br />
Πολιτικής και Μέτρων Ασφάλειας.<br />
Δημιουργία τμήματος Εσωτερικού Ελέγχου<br />
(μπεριλαμβανομένων και των ΠΣ).<br />
Περιοδικοί έλεγχοι επάρκειας υλοποίησης μετρων<br />
ασφάλειας από ανεξάρτητο φορέα.<br />
Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής<br />
5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής<br />
Το TAXIS – TAXISnet αποτελεί ένα κομβικό έργο στην ιστορία της Δημοσίας Διοίκησης στην<br />
Ελλάδα, συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού Συστηματος<br />
τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης. Εκτός από τις υπηρεσίες<br />
που προσφέρει στο προσωπικό του συστήματος για καθημερινές και λειτουργικές δραστηριότητες<br />
που σχετίζονται με την ανάκτηση στοιχείων, συγκεντρωτικών εκθέσεων και παρακολούθησης<br />
των φορολογικών θεμάτων, υποστηρίζονται και υπηρεσίες ανταλλαγής Φορολογικής Ενημερότητας<br />
μεταξύ φορέων για λογαριασμό του συναλλασσόμενου πολίτη. Περαιτέρω, προσφέρει ένα<br />
αριθμό άμεσα προαβάσιμων υπηρεσιών στους πολίτες, διευκολύνοντας την αλληλεπίδρασή τους με<br />
τις φορολογικές υπηρεσίες και μέσω εναλλακτικών δικτύων όπως το Διαδίκτυο (μέσω TAXISnet).<br />
Συνεπώς, το TAXIS – TAXISnet υποστηρίζει ταυτόχρονα: α) άμεσςες και έμμεσες υπηρεσίες ΔΔ<br />
προς τους πολίτες, β) Υπηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέων<br />
της ΔΔ και δ) Επικοινωνία, με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι σαφές<br />
ότι το TAXIS – TAXISnet αποτελεί μια πολύ σημαντική υποδομή της Δημόσιας Διοίκησης.<br />
5.3.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής<br />
Για την αξιολόγηση του βαθμού κρισιμότητας του TAXIS – TAXISnet, εφαρμόζονται τα κριτήρια<br />
κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:<br />
• Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της<br />
ποιότητας μιας υπηρεσίας.<br />
• Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της<br />
ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της.<br />
• Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
142
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική,<br />
γεωγραφική ή λογική εξάρτηση).<br />
• Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά<br />
διαστήματα): η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη<br />
πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται<br />
με την διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.<br />
• Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην<br />
εμπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.<br />
• Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνητικών<br />
φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.<br />
• Προσωπική ασφάλεια: η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.<br />
• Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσωπικών<br />
ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της<br />
νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.<br />
Ο Πίνακας 16 περιγράφει την ταξινόμηση των παραπάνω κριτηρίων (με διαφορετικό χρώμα σημειώνονται<br />
οι σχετικές αποτιμήσεις).<br />
Κριτήριο<br />
Αριθμός<br />
χρηστών<br />
Επίπτωση<br />
Οικονομική<br />
Επίπτωση<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή<br />
>100,000 άτομα<br />
10,000 έως 100,000<br />
άτομα<br />
1000 έως 10,000<br />
άτομα<br />
100 έως 1,000<br />
άτομα<br />
< 100 άτομα<br />
> €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ.<br />
Εμβέλεια Διεθνής Εθνική Περιφερειακή<br />
Βαθμός<br />
Αλληλοεξάρτησης<br />
Κρισιμότητα<br />
υπηρεσίας<br />
Εμπιστοσύνη<br />
της κοινής<br />
γνώμης<br />
Εφαρμογή<br />
πολιτικής και<br />
λειτουργία<br />
δημόσιου<br />
Συντριπτική επίδραση<br />
σε άλλες<br />
υποδομές/τομείς<br />
Υψηλό κόστος σε<br />
περισσότερους<br />
τομείς, Χρόνος<br />
ανάκαμψης πέραν<br />
του έτους<br />
Διεθνής αποδοκιμασία<br />
Σοβαρή παρεμπόδιση/διακοπή<br />
της ανάπτυξης<br />
και εφαρμογής<br />
Τοπική (σε Τοπική (σε ένα<br />
πολλούς φορείς) φορέα)<br />
Σημαντική επίδραση Μέτρια επίδραση σε Μικρή επίδραση<br />
Επίδραση μόνο σε<br />
σε άλλες υποδομές/τομείς<br />
τομείς<br />
άλλες υποδομές/ σε άλλες υποδομές/τομείς<br />
μία υποδομή/τομέα<br />
Υψηλό κόστος, Υψηλός<br />
απαιτούμενος χρόνος<br />
ανάκαμψης<br />
(εβδομάδες – μήνες)<br />
Χαμηλή κυβερνητική<br />
αξιοπιστία σε εθνικό<br />
επίπεδο<br />
Υποβάθμιση της διαπραγματευτικής<br />
και<br />
συναλλακτικής δυνατοτητας<br />
της κυβέρνη-<br />
Μέτριο κόστος, Σημαντικός<br />
Χρόνος α-<br />
νακαμψης (μέρες –<br />
εβδομάδες)<br />
Μέτρια κυβερνητική<br />
αξιοπιστία σε ε-<br />
θνικό επίπεδο<br />
Χαμηλό κόστος,<br />
Μικρός απαιτουμενος<br />
χρόνος<br />
ανάκαμψης<br />
(ώρες – μέρες)<br />
Απώλεια καλής<br />
φήμης πολλών<br />
κυβερνητικών<br />
οργανισμών/<br />
φορέων<br />
Αμελητέο κόστος,<br />
Μικρός απαιτουμενος<br />
χρόνος ανάκαμψης<br />
(ώρες)<br />
Απώλεια καλής<br />
φήμης ενός κυβερνητικού<br />
οργανισμού/φορέα<br />
Παρεμπόδιση της Υπονόμευση της Ανεπαρκής λειτουργία<br />
μέρους ε-<br />
απότελεσματικής α- σωστής διαχείρισης<br />
ή/και λει-<br />
νός δημοσίου ορ-<br />
ναπτυξης και εφαρμογής<br />
των κυβερνη- τουργίας ενός γανισμού<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
143
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κριτήριο<br />
Επίπτωση<br />
οργανισμού<br />
Προσωπική<br />
ασφάλεια<br />
Αποκάλυψη<br />
προσωπικών ή<br />
εμπιστευτικών<br />
πληροφοριών<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή<br />
κυβερνητικών<br />
πολιτικών<br />
Απώλεια πολλών<br />
ανθρώπινων ζωών<br />
σης τικών πολιτικών δημοσίου οργανισμού<br />
Απώλεια ανθρώπινης<br />
ζωής<br />
Αποκάλυψη ε-<br />
Παραβίαση νομοθεσίας,<br />
σοβαρή ενόχληση<br />
μπιστευτικών κυβερνητικών<br />
πληροφοριών<br />
πολλών ατόμων<br />
Σημαντικός τραυματισμός<br />
πολλών<br />
ατόμων<br />
Παραβίαση νομοθεσίας,<br />
σοβαρή ενόχληση<br />
ενός ατόμου<br />
Μικρός τραυματισμός<br />
σε περισ-<br />
Μικρός τραυματισμός<br />
ενός άτομου<br />
σότερα άτομα<br />
Μικρή ενόχληση<br />
πολλών ατόμων<br />
Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet<br />
Εφαρμόζοντας τα παραπάνω κριτήρια στο TAXIS – TAXISnet, προκύπτουν τα ακόλουθα:<br />
Μικρή ενόχληση<br />
ενός ατόμου<br />
1. Αριθμός χρηστών: Το TAXIS – TAXISnet αποτελεί τη βασική πλατφόρμα για τις φορολογικές<br />
υπηρεσίες που απευθύνονται στους Πολίτες. Θα πρέπει να σημειωθεί ότι επί του παρόντος<br />
οι εγγεγραμμένοι χρήστες του συστήματος ανέρχονται σε 2.000.000, ενώ εξ αυτών οι χρήστες<br />
που υπέβαλλαν φορολογικές δηλώσεις μέσω του TAXISnet ανέρχονται περίπου σε 600.000. Οι<br />
δυνητικοί χρήστες του είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική δυνατοτητα<br />
και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγορία<br />
κρισιμότητας ‘Πολύ Υψηλή’.<br />
2. Οικονομική Επίπτωση: Το TAXIS – TAXISnet υποστηρίζει άμεσες οικονομικές συναλλαγές<br />
(υπό την έννοια της δήλωσης φορολογικών στοιχείων και τυχόν επιστροφών στους δικαιούχους<br />
μέσω τράπεζικού λογαριασμού), και συνεπώς τυχόν δυσλειτουργίες του συστήματος έχουν ά-<br />
μεσες επιπτώσεις για τις εφαρμογές τις οποίες υποστηρίζει. Συνεπώς το κριτήριο εμπίπτει στην<br />
κατηγορία κρισιμότητας ‘Πολύ Υψηλή’.<br />
3. Εμβέλεια: Το TAXIS – TAXISnet παρέχει υπηρεσίες σε εθνικό και διεθνές επίπεδο. Συνεπώς<br />
η κρισιμότητά του με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Πολύ Υψηλή’.<br />
4. Βαθμός αλληλοεξάρτησης: Το TAXIS – TAXISnet αποτελεί το εθνικό Φορολογικό Σύστημα<br />
και ως απώτερο στόχο έχει την εξυπηρέτηση του συνόλου των πολιτών που το χρησιμοποιούν<br />
είτε άμεσα, είτε διευκολύνονται από τις υπηρεσίες του (πχ. μέσω της ανταλλαγής Φορολογικής<br />
Ενημερότητας για λογαριασμό του πολίτη μεταξύ Φορέων). Συνεπώς η μη διαθεσιμότητα του<br />
TAXIS – TAXISnet έχει σημαντική επίπτωση στις υπηρεσίες που υποστηρίζει και έτσι η κρισιμότητα<br />
του με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως ‘Υψηλή’.<br />
5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του TAXIS – TAXISnet θα έχει σχετικά<br />
χαμηλό κόστος για τις υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για σχεδόν όλες υπάρχει εναλλακτικός<br />
τρόπος διεκπεραίωσης (πχ. χειροκίνητη ανταλλαγή δεδομένων, κατάθεση φορολογικών<br />
στοιχείων κλπ.). Επιπρόσθετα, ο απαιτούμενος χρόνος ανάκαμψης εκτιμάται ότι είναι σχετικά<br />
μικρός (μερικές ώρες). Το χειρότερο δυνατό σενάριο (πχ. η αποτυχία του συστήματος εν<br />
μεσω περιόδου κατάθεσης φορολογικών δηλώσεων) μπορεί να αντιμετωπιστεί με τη φυσική<br />
παρουσία των φορολογουμένων στις εφορίες, με χειροκίνητη ανταλλαγή δεδομένων κλπ. Συνεπώς<br />
η κρισιμότητα της υπηρεσίας χαρακτηρίζεται ως ‘Χαμηλή’.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
144
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένη την αναγνωρισιμότητα του συστήματος, το βαθμό<br />
ενθάρρυνσης της χρήσης του από την Πολιτεία και τον αριθμό των χρηστών του, εκτιμάται<br />
ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του συστήματος θα επηρέαζε σημαντικά<br />
την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του TAXIS –<br />
TAXISnet με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως ‘Μέτρια’.<br />
7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνητικών<br />
φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβίαση<br />
κάποιας συνιστώσας της ασφάλειας του TAXIS – TAXISnet, είναι σημαντική, καθώς θα<br />
επηρεαστεί η ομαλή λειτουργία περισσότερων του ενός φορέα (με προεξάρχουσες τις φορολογικές<br />
υπηρεσίες), που πιθανά παρέχει κρίσιμες κυβερνητικές υπηρεσίες. Περαιτέρω, παρεμποδίζεται<br />
η εφαρμογή των κυβερνητικών πολιτκιών για χρήση των υπηρεσιών Ηλεκτρονικής Διακυβέρνησης<br />
από τους πολίτες με επακόλουθο κόστος σε χρόνο απασχόλησης του προσωπικού<br />
των υπηρεσιών, αυξημένο χρόνο αναμονής εξυπηρέτησης των πολιτών κλπ. Συνεπώς, η κρισιμότητα<br />
του TAXIS – TAXISnet με βάση το κριτηριο αυτό χαρακτηρίζεται ως ‘Μέτρια’.<br />
8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών<br />
και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πολύ<br />
Χαμηλή’ ή ανύπαρκτη.<br />
9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπιστευτικότητας<br />
των διακινούμενων δεδομένων του TAXIS – TAXISnet και με δεδομένο το<br />
μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής<br />
νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομενα είναι πιθανό<br />
να περιλαμβάνουν προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κατάστασης,<br />
δεδομενα υγείας κλπ. Συνεπώς, η κρισιμότητα του TAXIS – TAXISnet με βάση το<br />
κριτηριο αυτό χαρακτηρίζεται ως ‘Υψηλή’.<br />
10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το TAXIS – TAXISnet α-<br />
ποτελεί βασικό σημείο επαφής μεγάλου αριθμού πολιτών, σε τεχνολογίες πληροφορικής και<br />
επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατιας και<br />
της αποτελεσματικής εξυπηρέτησης των πολιτών, μέσω της χρήσης νέων τεχνολογιών, εκτιμάται<br />
ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού<br />
συνόλου. Αυτό ενισχύεται και από το γεγονός ότι χρήστες του TAXIS-TAXISnet είναι ένας<br />
μεγάλος αριθμός από πολίτες, αριθμός που ακολουθεί αυξητική τάση, από χρόνο σε χρόνο. Συνεπώς<br />
η κρισιμότητα του TAXIS-TAXISnet, με βάση το κριτήριο αυτό, χαρακτηρίζεται ως Υ-<br />
ψηλή.<br />
5.3.9 Συμπεράσματα<br />
Το TAXIS – TAXISnet συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού<br />
Συστήματος τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης.<br />
Το σύστημα επιτρέπει τη συλλογή, επεξεργασία και διατήρηση των φορολογικών δεδομένων των<br />
πολιτών και την υποστήριξη των τελωνείων της χώρας. Περαιτέρω, εξυπηρετεί άμεσα τους πολίτες<br />
παρέχοντας άμεση πρόσβαση σε ένα αριθμό από υπηρεσίες Ηλεκτρονικής Διακυβέρνησης που σχετιζονται<br />
με φορολογία και τελωνεία.<br />
Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας<br />
κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση<br />
με τον αριθμό των Χρηστών, τις Οικονομικές Επιπτώσεις και την Εμβέλεια του συστήματος. Υψη-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
145
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
λές χαρακτηρίζονται οι επιπτώσεις που σχετίζονται με το Βαθμό Αλληλεξάρτησης, όπως και με την<br />
Αποκάλυψη Εμπιστευτικών ή Προσωπικών Πληροφοριών, με δεδομένο τον αριθμό των χρηστών<br />
καθώς και το γεγονός ότι το σύστημα καλύπτει το σύνολο της Ελληνικής Επικράτειας.<br />
Μέτριες έως χαμηλές κρίνονται οι επιπτώσεις που αφορούν στην Εμπιστοσύνη της Κοινής Γνώμης,<br />
στην Εφαρμογή της Κυβερνητικής Πολιτικής και στην Κρισιμότητα ης Υπηρεσίας, ενώ το Δίκτυο<br />
δεν σχετίζεται άμεσα προς το παρόν με ζητηματα Προσωπικής Ασφάλειας.<br />
Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το TAXISnet αποτελεί ‘Κρίσιμη Υποδομή<br />
της Δημόσιας Διοίκησης’.<br />
5.4 Data Centers ΚτΠ ΑΕ<br />
Στις νέες εγκαταστάσεις της ΚτΠ Α.Ε. (Ηλιουπόλεως 2, Υμηττός) υπάρχουν ειδικά διαμορφωμένοι<br />
χώροι (Data Centers) στους οποίους φιλοξενείται εξοπλισμός Πληροφοριακών Συστημάτων της<br />
Δημόσιας Διοίκησης. Προς το παρόν έχουν διαμορφωθεί και λειτουργούν δύο χώροι (Data Center<br />
1 - DC1, Data Center 2 - DC2) στο υπόγειο του κτηρίου (-1ος όροφος), ενώ προβλέπεται η δημιουργία<br />
ενός τρίτου (Data Center 3 - DC3), όπου η τοποθεσία και οι προδιαγραφές δεν έχουν οριστικοποιηθεί.<br />
Ως πιο πιθανή εκτιμάται η δημιουργία του, επίσης στο υπόγειο της ΚτΠ Α.Ε., στο<br />
επίπεδο του -1ου ορόφου.<br />
Τα δύο υπάρχοντα Data Centers παρέχουν υποδομή και στεγάζουν εξοπλισμό για τη λειτουργία<br />
των παρακάτω έργων της Δημόσιας Διοίκησης (Πίνακας 17:).<br />
Έργο<br />
ΡΑΠΤΑΡΧΗΣ<br />
Δορυφόρος Λογαριασμός<br />
Τουρισμού/Παρατηρητήριο<br />
Τουρισμού<br />
ΥΛΠΗΣΔΕΔ<br />
Ηλεκτρονική<br />
Πολεοδομία II<br />
ΑΜΕΑ<br />
ΟΠΣΝΑ Εμπόριο/ΑΕ<br />
ΟΠΣΝΑ Υγεία/Πρόνοια<br />
ΟΠΣΝΑ Πολεοδομία Ι<br />
Τρέχουσα<br />
Κατάσταση<br />
Eγκατεστημένο<br />
Eγκατεστημένο<br />
Φορέας Λειτουργίας<br />
Υπηρεσία Διαχείρισης Διαρκούς<br />
Κώδικα Νομοθεσίας (ΥΠΕΣ)<br />
Yπουργείο Τουριστικής Ανάπτυξης<br />
Εθνικό Κέντρο Δημόσιας Διοίκησης<br />
και Αυτοδιοίκησης<br />
Πολεοδομικές Υπηρεσίες<br />
Ινστιτούτο Κοινωνικής Προστασίας<br />
και Αλληλεγγύης (ΙΚΠΑ)<br />
Νομαρχιακές Αυτοδιοικήσεις<br />
Νομαρχιακές Αυτοδιοικήσεις<br />
Πολεοδομικές Υπηρεσίες<br />
Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ<br />
Data<br />
Center<br />
Ενδέχεται/προγραμματίζεται στο μέλλον να προστεθεί ο εξοπλισμός των παρακάτω έργων, καθώς<br />
και να δημιουργηθεί και ένα τρίτο Data Center:<br />
DC2<br />
DC1<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
146
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Έργο Τρέχουσα Κατάσταση Φορέας Λειτουργίας<br />
ΔΥΠΕ Ιονίων Νήσων<br />
ΔΥΠΕ Δυτικής Ελλάδας<br />
ΔΥΠΕ Πελοποννήσου<br />
Εθνική Πύλη ΕΡΜΗΣ<br />
Σχεδίαση για Δάση και<br />
Υδάτινους Πόρους<br />
Σε παραγωγική λειτουργία,<br />
εγκατεστημένο στο φορέα<br />
λειτουργίας<br />
Σε παραγωγική λειτουργία,<br />
εγκατεστημένο στο φορέα<br />
λειτουργίας<br />
Σε παραγωγική λειτουργία,<br />
εγκατεστημένο στο φορέα<br />
λειτουργίας<br />
Υπό ανάπτυξη και υπό<br />
εγκατάσταση<br />
Αναμένεται στα τέλη 2008<br />
ΔΥΠΕ ΙΟΝΙΩΝ<br />
ΝΗΣΩΝ<br />
ΔΥΠΕ ΔΥΤΙΚΗΣ<br />
ΕΛΛΑΔΑΣ<br />
ΔΥΠΕ<br />
ΠΕΛΟΠΟΝΝΗΣΟΥ<br />
ΥΠΕΣ<br />
ΥΠΕΣ<br />
Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε.<br />
Data<br />
Center<br />
DC2<br />
DC3<br />
Στη συνέχεια παρατίθενται αναλυτικά στοιχεία για κάθε σύστημα/έργο. Από τα έργα αυτά αναλύονται<br />
όσα είναι εγκατεστημένα ήδη στην παρούσα φάση αλλά και όσα προγραμματίζεται να εγκατασταθούν<br />
στο άμεσο χρονικό διάστημα (π.χ. Εθνική Πύλη ΕΡΜΗΣ). Στο τέλος του κεφαλαίου αυτού<br />
αξιολογούνται τα Data Centers στο σύνολό τους ως προς το ρόλο τους ως υποδομή της Δημόσιας<br />
Διοίκησης αλλά και ως προς την κρισιμότητά τους.<br />
Πιο συγκεκριμένα, για κάθε έργο/ΟΠΣ που φιλοξενείται στα Data Centers παρουσιάζονται τα εξής:<br />
• Στοιχεία ταυτότητας έργου<br />
• Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
• Παρεχόμενες υπηρεσίες (επιγραμματική περιγραφή, πηγές/αποδέκτες δεδομένων)<br />
• Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ (επιγραμματική περιγραφή, βαθμός διασύνδεσης, διασυνδέσεις<br />
με άλλα συστήματα)<br />
• Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης<br />
5.4.1.1 Στοιχεία ταυτότητας έργου<br />
Το έργο «Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης»<br />
έχει ως σκοπό την υλοποίηση μιας συνολικής και συστηματικής, τεχνολογικής παρέμβασης για την<br />
υποστήριξη της προσβασιμότητας και ευχρηστίας στο περιεχόμενο των διαδικτυακών ιστοτόπων,<br />
καθώς και το σχεδιασμό και την ανάπτυξη καθολικά προσβάσιμων WEB εφαρμογών και τηλεματικών<br />
υπηρεσιών στη Κοινωνία της Πληροφορίας για τα Άτομα με Αναπηρία (ΑμεΑ).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
147
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φορέας έργου: Ινστιτούτο Κοινωνικής Προστασίας και Αλληλεγγύης (Ι.Κ.Π.Α.)<br />
Ανάδοχος:<br />
Ένωση Νομικών Προσώπων «ΙNFOQUEST AEBE (UNISYSTEMS)<br />
– Ινστιτούτο Πληροφορικής, Ίδρυμα Τεχνολογίας και Έρευνας»<br />
ΣΤΥ:<br />
Intraway Α.Ε.<br />
Μελετητής Ασφάλειας: Intraway Α.Ε.<br />
Προϋπολογισμός<br />
έργου:<br />
2.996.374 €<br />
Διάρκεια έργου: 21 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη<br />
Data Center: DC2 58<br />
Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης<br />
5.4.1.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Τα βασικά στοιχεία της αρχιτεκτονικής είναι:<br />
• Εξυπηρετητές Web και FTP. Είναι υπεύθυνοι για την παροχή των διεπαφών Web, των υπηρεσιών<br />
του Έργου προς τους χρήστες, καθώς επίσης και τη δυνατότητα ανταλλαγής αρχείων μεσω<br />
της υπηρεσίας FTP.<br />
• Υλικός εξοπλισμός Firewall. Για την προστασία της αρχιτεκτονικής, από εξωτερικές επιθέσεις<br />
διατίθενται δύο συσκευές Firewall (ώστε να παρέχεται υψηλή διαθεσιμότητα).<br />
• Εξυπηρετητές Εφαρμογών. Είναι υπεύθυνοι για την υλοποίηση των λειτουργιών της επιχειρησιακής<br />
λογικής των υπηρεσιών του Έργου.<br />
• Εξυπηρετητές Βάσης Δεδομένων. Είναι υπεύθυνοι για την υποστήριξη του Σχεσιακού Συστηματος<br />
Βάσης Δεδομένων που χρησιμοποιείται από τις υπηρεσίες του Έργου.<br />
• Εξυπηρετητές IVR-TTS-ASR της Φωνητικής Πύλης. Είναι υπεύθυνοι για την υποστήριξη των<br />
λειτουργιών IVR, TTS και ASR που απαιτούνται για την επικοινωνία των χρηστών με την υπηρεσία<br />
Φωνητικής Πύλης του Έργου.<br />
• Δρομολογητής φωνητικής πύλης. O δρομολογητής αυτός είναι υπεύθυνος για την διασύνδεση<br />
των υπηρεσιών Φωνητικής Πύλης του Έργου με το τηλεφωνικό κέντρο που θα παρέχει ο Φορέας<br />
Λειτουργίας.<br />
• Εξυπηρετητής Email και Users Directory. Φιλοξενεί τις υπηρεσίες ηλεκτρονικού ταχυδρομείου<br />
και καταλόγου χρηστών.<br />
• Μεταγωγείς. Η διασύνδεση όλων των στοιχείων της αρχιτεκτονικής, μεταξύ τους και με το ε-<br />
ξωτερικό δίκτυο επιτυγχάνεται από τους μεταγωγείς της Αρχιτεκτονικής.<br />
• Σταθμοί εργασίας (ΑΜΕΑ και Power Stations). Περιλαμβάνονται 15 σταθμοί εργασίας, σε 5 εκ<br />
των οποίων έχει εγκατασταθεί εξοπλισμός υποστηρικτικής τεχνολογίας.<br />
• Σύστημα αποθήκευσης. Για την ολοκλήρωση της διαθεσιμόητας των στοιχείων της Αρχιτεκτονικής<br />
παρέχεται δικτυακό σύστημα αποθήκευσης (Storage Area Network – SAN).<br />
58 Η φιλοξενία στο Data Center της ΚτΠ είναι προσωρινή, έως ότου ολοκληρωθούν οι εργασίες για την κατασκευή<br />
κατάλληλης υποδομής φιλοξενίας του εξοπλισμού στο ΙΚΠΑ.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
148
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Σύστημα λήψης αντιγράφων ασφαλείας. Για την προστασία από απώλειες δεδομένων που απόθηκεύονται<br />
στο πλαίσιο των υπηρεσιών του Έργου, παρέχεται σύστημα λήψης αντιγράφων<br />
ασφαλείας.<br />
• Μονάδα αδιαλείπτου ισχύος (UPS). Για την εξασφάλιση αδιάλειπτης λειτουργίας του συστηματος<br />
σε περιπτώσεις διακοπής ρεύματος παρέχεται μονάδα αδιαλείπτου ισχύος.<br />
Στο Σχήμα 24 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ.<br />
Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης<br />
(Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
149
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.1.3 Παρεχόμενες υπηρεσίες<br />
Το πλαίσιο υλοποίησης περιλαμβάνει ένα σύνολο μελετών και δράσεων οι οποίες στοχεύουν στην<br />
οριοθέτηση του απαραίτητου θεσμικού πλαισίου που αφορά στην ηλεκτρονική επικοινωνία των<br />
ΑΜΕΑ με τη Δημόσια Διοίκηση, αλλά και στη δημιουργία του κατάλληλου υπόβαθρου για την α-<br />
νάπτυξη προσβάσιμων διαδικτυακών εφαρμογών στην Ελλάδα. Παράλληλα αναγνωρίζοντας τις α-<br />
νάγκες καθημερινής διαβίωσης των ΑμεΑ προχωρά στην υλοποίηση προσβάσιμων διαδικτυακών<br />
εφαρμογών όπως:<br />
• ηλεκτρονικό ΚΕΠ για ΑΜΕΑ,<br />
• ενημέρωση για υπηρεσίες και προϊόντα υποστηρικτικής τεχνολογίας,<br />
• υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης,<br />
με στόχο την εξυπηρέτηση των ΑμεΑ.<br />
Οι υπηρεσίες που προσφέρονται απεικονίζονται στο Σχήμα 25.<br />
Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Αναλυτικά, το αντικείμενο του έργου είναι:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
150
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ελληνικές προδιαγραφές W3C/WAI (Greek extensions to W3C/WAI), για τη ανάπτυξη προηγμενων<br />
διεπαφών (user interface) και γενικά ηλεκτρονικών συστημάτων που θα προορίζονται<br />
για ΑμεΑ.<br />
• Ανάπτυξη, αξιολόγηση, επαλήθευση, σύνταξη και διάθεση κανόνων βέλτιστης πρακτικής, σχετικών<br />
συστάσεων και οδηγιών, για την υποστήριξη και δημιουργία προσβάσιμων υπηρεσιών<br />
και εφαρμογών ηλεκτρονικής διακυβέρνησης, για τις ομάδες στόχου του έργου.<br />
• Διάθεση και διάχυση των αποτελεσμάτων των δύο παραπάνω σημείων. Αυτό, θα επιτευχθεί με<br />
την κατασκευή κατάλληλων ιστοτόπων, ηλεκτρονικών εγγράφων και ηλεκτρονικών σεμιναρίων<br />
(web sites, electronic documents, online tutorials), προάγοντας και υποστηρίζοντας την<br />
παραγωγική εκμετάλλευση τους από την Ελληνική βιομηχανία πληροφορικής, καθώς και τους<br />
ενδιαφερόμενους φορείς και οργανισμούς.<br />
• Προμήθεια και εγκατάσταση εξοπλισμού σε κεντρικό (servers) και περιφερειακό επίπεδο<br />
(workstations), για τη διάθεση υπηρεσιών e-government προς τις προαναφερθείσες ευπαθείς<br />
πληθυσμιακές ομάδες (EO).<br />
• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής<br />
λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content),<br />
για την προσαρμογή υπηρεσιών e-government (e-ΚΕΠ), για την εξυπηρέτηση των ευπαθών ο-<br />
μάδων.<br />
• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης – προσαρμογής<br />
λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content)<br />
για την προσαρμογή υπηρεσιών ανεξάρτητης διαβίωσης (ενημέρωσης - πληροφόρησης, επικοινωνίας<br />
και συμβουλευτικής), για την εξυπηρέτηση των ΑμεΑ.<br />
• Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής<br />
λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content),<br />
για την προσαρμογή υπηρεσιών κοινωνικής και επαγγελματικής ενσωμάτωσης (Εκπαίδευση –<br />
κατάρτιση, προσφορά -ζήτηση εργασίας), με σκοπό την εξυπηρέτηση των ευπαθών ομάδων.<br />
• Σχεδιασμός και ανάπτυξη σύστημα e-learning, που μέσω προηγμένων διεπαφών και εναλλακτικού<br />
περιεχομένου, προωθεί τις υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης (μπορεί<br />
να χρησιμοποιηθεί η πλατφόρμα του συστήματος «Σύζευξις»).<br />
• Ανάπτυξη 10 πακέτων εκπαιδευτικού υλικού για το παραπάνω σύστημα e-learning.<br />
• Ανάπτυξη Υπηρεσίας, για την διάθεση Προϊόντων Υποστηρικτικής Τεχνολογίας ΑμεΑ. Ειδική<br />
μνεία γίνεται στα προϊόντα που έχουν πιστοποιηθεί από το ΙΚΠΑ.<br />
• Μελέτη, σχεδιασμός, ανάπτυξη, αξιολόγηση, επαλήθευση, και εγκατάσταση μιας πρότυπης διαδικτυακής<br />
πύλης ηλεκτρονικής διακυβέρνησης (e-government portal), με σκοπό τη διάχυση<br />
των παραπάνω υπηρεσιών και πληροφοριών, προσβάσιμη από τις ομάδες στόχου του έργου, οι<br />
οποίες δεν είναι καθολικά προσβάσιμες στην σημερινή τους μορφή. Επιπλέον, θα προσφέρει<br />
προσβάσιμες υπηρεσίες μέσω ηλεκτρονικού ταχυδρομείου (e-mail), ηλεκτρονικής συνομιλίας<br />
(e-chat), και ηλεκτρονικού πίνακα μηνυμάτων (e-message board -forum).<br />
5.4.1.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
• Σύστημα τηλεπικοινωνιών «Σύζευξις»<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
151
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Η συσχέτιση με το «Σύζευξις» έγκειται στο ότι εξασφαλίζει την απαραίτητη τηλεπικοινωνιακή διασύνδεση<br />
μεταξύ του χώρου εγκατάστασης του κεντρικού εξοπλισμού, των ΑΜΕΑ σε όλη την Ελλάδα,<br />
και των άλλων Φορέων ΑΜΕΑ. Επίσης ο ανάδοχος μπορεί να χρησιμοποιήσει την πλατφόρμα<br />
e-learning του «Σύζευξις».<br />
• Φορείς που παρέχουν δεδομένα<br />
Το βασικό περιεχόμενο αντλείται με αυτόματο τρόπο από τα site του ΚΕΠ, του ΥΠΕΣΔΔΑ και του<br />
ΥΥΚΑ.<br />
• Σύστημα «Κάρτα Αναπηρίας»<br />
Θα πρέπει να διασφαλιστεί η διαλειτουργικότητα με αυτό το σύστημα, αλλά επειδή είναι υπό ανάπτυξη,<br />
οι λεπτομέρειες δεν έχουν καθοριστεί.<br />
5.4.1.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Στο διαθέσιμο υλικό δεν συμπεριλαμβανόταν το παραδοτέο υπολογισμού της επικινδυνότητας, συνεπώς<br />
δεν είναι γνωστό ποια μέθοδος χρησιμοποιήθηκε και σε τι επίπεδα κυμαίνεται η επικινδυνότητα.<br />
Παραταύτα, υπάρχει σχέδιο ασφάλειας, το οποίο προδιαγράφει τα εξής:<br />
• Χρήση συστοιχίας firewall cluster σε διάταξη active/standby failover.<br />
• Τρεις ζώνες ασφαλείας: α) για την υποστήριξη της διασύνδεσης του Φορέα Λειτουργίας με το<br />
δίκτυο Σύζευξις, β) ζώνη DMZ η οποία θα περιλαμβάνει τους εξυπηρετητές web και ftp και γ)<br />
ζώνη Inside η οποία θα περιλαμβάνει όλους τους υπόλοιπους εξυπηρετητές.<br />
• Μέτρα για περιμετρική ασφάλεια και διαχείριση αρχείων καταγραφής<br />
• Μέτρα για την προστασίας του λειτουργικού συστήματος (Περιορισμός χρηστών, groups, περιορισμός<br />
των δικαιωμάτων στο σύστημα αρχείων, επιλογή ισχυρών passwords, απενεργοποίηση<br />
των υπηρεσιών εκτός των απαραίτητων, έλεγχος των αρχείων του συστήματος, απεγκατάσταση<br />
του μη απαραίτητου λογισμικού, περιορισμός και διασφάλιση της πρόσβασης στο σύστημα,<br />
αποτελεσματική αποστολή αντιγράφου των logs σε άλλο σύστημα)<br />
• Προστασία του δικτυακού εξοπλισμού (μεταγωγείς, δρομολογητές, firewalls) και του συστηματος<br />
Antivirus.<br />
• Μέτρα για την πρόσβαση χρηστών<br />
• Εκπαίδευση χρηστών<br />
Σημειώνεται ότι αυτά τα μέτρα ασφάλειας είχαν προδιαγραφεί με βάση την παραδοχή ότι ο χώρος<br />
εγκατάστασης του συστήματος θα είναι σε κάποιο χώρο του φορέα λειτουργίας και όχι στην ΚτΠ<br />
ΑΕ. Παράλληλα, έχει συνταχθεί Πολιτική Ασφάλειας. Ο ΣΤΥ προβλέπεται να σχεδιάσει και να υ-<br />
λοποιήσει τη διεξαγωγή δοκιμών ασφάλειας (penetration tests), τα συμπεράσματα των οποίων θα<br />
παραδοθούν με τη μορφή έκθεσης (που θα περιλαμβάνει και τα σενάρια δοκιμών) στην ΚτΠ Α.Ε.,<br />
ώστε να ληφθούν υπόψη από τον Ανάδοχο του Κυρίως Έργου. Έπειτα θα ελέγξει την ορθότητα<br />
και πληρότητα των τεχνικών μέτρων ασφάλειας που έχουν υλοποιηθεί από τον Ανάδοχο και θα επικαιροποιήσει<br />
τη μελέτη ασφάλειας. Δεν υπάρχει πρόβλεψη για κάποιο εφεδρικό χώρο σε περίπτωση<br />
καταστροφών ή για Σχέδιο συνέχισης λειτουργίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
152
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού<br />
5.4.2.1 Στοιχεία ταυτότητας έργου<br />
Βασικός σκοπός του έργου «Ανάπτυξη και Λειτουργία Ολοκληρωμένου Πληροφοριακού Συστήματος<br />
Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα: Δορυφόρος Λογαριασμός Τουρισμού και<br />
Παρατηρητήριο Τουρισμού» είναι η ανάπτυξη, εφαρμογή και παραγωγική λειτουργία του Ολοκληρωμένου<br />
Πληροφοριακού Συστήματος (ΟΠΣ) Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα,<br />
το οποίο θα εξυπηρετεί τη χάραξη, παρακολούθηση και αξιολόγηση της τουριστικής πολιτικής και<br />
συγχρόνως θα απευθύνεται σε όλους τους φορείς και πρόσωπα που συνδέονται άμεσα ή έμμεσα με<br />
τον Τουρισμό.<br />
Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα σύμφωνα με τις διεθνείς πρακτικές θα<br />
αποτελείται από δύο κύρια Υποσυστήματα, ως εξής:<br />
• Τον «Ελληνικό» Δορυφόρο Λογαριασμό Τουρισμού (Hellas Tourism Satellite Account), μέσω<br />
του οποίου τεκμηριώνεται η επίδραση του τουρισμού στην οικονομία, υποστηρίζεται η τουριστική<br />
αναπτυξιακή στρατηγική, διαμορφώνονται και «δοκιμάζονται» πολιτικές και διαχέονται<br />
συστηματικά εξειδικευμένες πληροφορίες υποστήριξης αποφάσεων στη Δημόσια Διοίκηση<br />
και στην αγορά (μέσω του Παρατηρητηρίου Τουρισμού).<br />
• Το εξειδικευμένο «Παρατηρητήριο Τουρισμού» (Hellas Tourism Observatory) μέσω του ο-<br />
ποίου εξασφαλίζεται με άρτιο, πλήρη και εποπτικό τρόπο η συγκέντρωση, επεξεργασία και επικαιροποίηση<br />
πληθώρας στοιχείων και δεδομένων που συνθέτουν και διαμορφώνουν (πρωτογενώς<br />
ή/και δευτερογενώς) την «εικόνα» της εγχώριας και διεθνούς οικονομικής δραστηριότητας<br />
στον κλάδο του Τουρισμού.<br />
Φορέας έργου:<br />
Yπουργείο Τουριστικής Ανάπτυξης<br />
Ανάδοχος:<br />
Ένωση Singular Logic Integrator, BPM, Deloitte<br />
ΣΤΥ:<br />
Vellum Σύμβουλοι Επιχειρήσεων, Οικονομικό Πανεπιστήμιο<br />
Αθηνών<br />
Μελετητής Ασφάλειας: Vellum Σύμβουλοι Επιχειρήσεων<br />
Προϋπολογισμός έργου: € 2.313.300,00<br />
Διάρκεια έργου:<br />
24 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη<br />
Data Center:<br />
DC2<br />
Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο<br />
Τουρισμού<br />
Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα συνδυάζοντας το ΔΛΤ και το Παρατηρητήριο,<br />
διαμορφώνει ευρεία εξωστρέφεια, παράγοντας και παρέχοντας σημαντικές και καινοφανείς<br />
πληροφορίες (οι οποίες σήμερα στην πλειοψηφία τους δεν είναι διαθέσιμες) στη Δημόσια Διοίκηση<br />
γενικά, στην Τουριστική Αγορά και στον κλάδο των μεταφορών, των τραπεζών και του χρηματοπιστωτικού<br />
τομέα, στους επιχειρηματίες, στα πανεπιστημιακά και ερευνητικά ιδρύματα και<br />
στους ερευνητές, στους πολίτες κλπ. Η λειτουργία του Συστήματος υποστηρίζεται από Διαδικτυακή<br />
Πύλη.<br />
5.4.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Το ΟΠΣ αποτελείται από τα παρακάτω υποσυστήματα:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
153
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Δορυφόρος Λογαριασμός Τουρισμού<br />
• Υποσύστημα Διαχείρισης Ερευνών<br />
• Υποσύστημα Μήτρας Εισροών Εκροών<br />
• Υποσύστημα Κλαδικής Ανάλυσης<br />
• Υποσύστημα Συνδυαστικής Επεξεργασίας και Υποστήριξης Στρατηγικής και Αποφάσεων<br />
• Υποσύστημα Διάχυσης Αποτελεσμάτων ΔΛΤ<br />
Παρατηρητήριο Τουρισμού<br />
• Υποσύστημα Αποθήκευσης και Συνδυαστικής Επεξεργασίας Δεδομένων<br />
• Υποσύστημα Τουριστικής Κατανάλωσης και Αναπτυξιακής Πολιτικής<br />
• Υποσύστημα Τουριστικής Αγοράς και Εισερχόμενης/Εξερχόμενης Τουριστικής Κίνησης<br />
• Υποσύστημα Τουριστικών Υποδομών και Ανωδομών και Ανθρώπινου Δυναμικού<br />
• Υποσύστημα Τουριστικών Επενδύσεων<br />
• Υποσύστημα Παρατήρησης και Ανταγωνισμού<br />
• Υποσύστημα Υποστήριξης Στρατηγικής και Αποφάσεων<br />
Στο Σχήμα 26 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ, η οποία αποτελείται από τα εξής επίπεδα:<br />
• Αποστρατιωτικοποιηµένη ζώνη (DMZ-Demilitarized Zone): περιλαµβάνει τον εξοπλισµό φιλοξενίας<br />
και προβολής του δικτυακού τόπου (Portal) στους χρήστες (http Servers - Web Cache).<br />
Συνοπτικά περιλαµβάνει τα ακόλουθα:<br />
• Επίπεδο Εφαρµογών και Επεξεργασίας (Application - Processing Layer): εριλαµβάνει τον εξοπλισµό<br />
των Oracle Application Servers στους οποίους θα εγκατασταθεί το λογισµικό Oracle<br />
Application Server Standard Edition.<br />
• Επίπεδο διαχείρισης και Αποθήκευσης των δεδοµένων (Back-end Layer): εριλαµβάνει τον εξοπλισµό<br />
των Oracle Database Servers.<br />
5.4.2.3 Παρεχόμενες υπηρεσίες<br />
Ο ΔΛΤ αποτελεί βασικό οικονομικο-στατιστικό εργαλείο. Οι χρήστες του ΔΛΤ είναι: α) στελέχη<br />
του Υπουργείου Τουριστικής Ανάπτυξης και β) στελέχη των εποπτευόμενων Φορέων από το Υ-<br />
πουργείο Τουριστικής Ανάπτυξης (με επιλεκτική πρόσβαση).<br />
Παράλληλα το Παρατηρητήριο Τουρισμού εξυπηρετεί:<br />
• τις λειτουργίες εξυπηρέτησης του γενικού (πολίτες, εν δυνάμει επενδυτές) και ειδικού κοινού<br />
(στελέχη δημόσιας διοίκησης, επενδυτές, επιχειρηματίες, ερευνητές, επιχειρηματίες, στελέχη<br />
διεθνών και εθνικών οργανισμών κλπ.)<br />
• τους συναλλασσόμενους με το Υπουργείο Τουρισμού, γενικότερα καθώς και τις ανάγκες επικοινωνίας<br />
με εξωτερικούς φορείς και τις δυνητικές πηγές πληροφοριών (υπάρχουσες και επιζητούμενες<br />
στο μέλλον).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
154
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη<br />
Εφαρμογής Αναδόχου)<br />
Στους χρήστες του ΟΠΣ περιλαμβάνονται:<br />
Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και Εποπτευόμενων Φορέων<br />
• Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και των εποπτευόμενων από αυτό φορέων<br />
(ΕΟΤ, ΟΤΕΚ, ΕΤΑ Α.Ε., Αγροτουριστική Α.Ε, Ελληνικό Φεστιβάλ Α.Ε.)<br />
• Τοπικοί διαχειριστές των εφαρμογών του Δ.Λ.Τ. και του Παρατηρητηρίου οι οποίοι θα είναι υ-<br />
πεύθυνοι α) για την ενημέρωση της βάσης δεδομένων με τα αποτελέσματα των τακτικών ερευνών<br />
όταν αυτές πραγματοποιούνται β) για καθημερινές διαδικασίες λειτουργίας και συντήρησης<br />
των εφαρμογών και γ) για τη μορφοποίηση στατιστικών αναφορών<br />
Λοιποί Δημόσιοι Φορείς (G2G και G2B-G2C συνεργασίες)<br />
• αφενός οι λοιποί φορείς του Δημοσίου που παρέχουν με τη σειρά τους δευτερογενώς επεξεργασμένες<br />
και συνδυασμένες πληροφορίες και υπηρεσίες προς τους πολίτες, τους επιχειρηματίες,<br />
τους ερευνητές κλπ., όπως η ΕΣΥΕ, η Τράπεζα της Ελλάδος, οι αρμόδιες Διευθύνσεις των Υ-<br />
πουργείων Οικονομίας, Ανάπτυξης, Μεταφορών, Ναυτιλίας, Εργασίας κλπ.<br />
• η ίδια η αγορά αφετέρου, αμιγώς «τουριστική» (φιλοξενία) ή όχι (αναψυχή, πολιτισμός, επισιτισμός,<br />
μεταφορές κλπ.).<br />
Οι λειτουργικές απαιτήσεις του ΟΠΣ σε σχέση με αυτήν την ομάδα εξασφαλίζουν:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
155
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• άμεση συνεργασία και ενημέρωση των λοιπών φορέων της δημόσιας διοίκησης (G2G)<br />
• γενική ενημέρωση των ενδιαφερόμενων επιχειρηματιών σε σχέση με πολλαπλά ερωτήματα, ό-<br />
πως επενδύσεις, αγορά εργασίας, μεταφορές, χαρακτηριστικά και τάσεις της εγχώριας και διεθνούς<br />
τουριστικής αγοράς, τιμές, ανταγωνισμός κλπ.<br />
• εξειδικευμένη ενημέρωση κάθε ενδιαφερόμενου (πολίτες, ερευνητές), ανάλογα με τις εξατομικευμένες<br />
ανάγκες του (G2C).<br />
5.4.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• Το Πληροφοριακό Σύστημα Ηλεκτρονικής Υποβολής των Αιτήσεων προς τους φορείς του Υ-<br />
πουργείου Τουριστικής Ανάπτυξης προσφέρει μηχανισμούς διαχείρισης των αιτήσεων των πολιτών<br />
από τους αρμόδιους υπαλλήλους των φορέων του ΥΤΑΝ, την κοινοποίηση των αποτελεσμάτων<br />
στους ενδιαφερόμενους πολίτες και τους εμπλεκόμενους φορείς, την ηλεκτρονική<br />
υποβολή αιτήσεων, την πληροφόρηση μέσω μηνυμάτων SMS με κύριο στόχο την ολοκλήρωση<br />
και επεξεργασία των αιτήσεων αυτών.<br />
• Το Σύστημα Ανάπτυξης και Λειτουργίας Υπηρεσίας μιας Στάσης για την Εξυπηρέτηση και Πληροφόρηση<br />
των Επιχειρήσεων του Τουριστικού Τομέα αφορά την λειτουργία Υπηρεσίας μίας Στασης<br />
για την παροχή άμεσης και ολοκληρωμένης πληροφόρησης στις επιχειρήσεις του τουριστικού<br />
τομέα καθώς επίσης και δυνητικούς επενδυτές στο χώρο του τουρισμού. Η υλοποίηση<br />
του συγκεκριμένου συστήματος, το οποίο θα διασυνδεθεί με το περιγραφόμενο Πληροφοριακό<br />
Σύστημα, δεν έχει ολοκληρωθεί και θα γίνει μέσω του ανασχεδιασμού των ηλεκτρονικών ιστοσελίδων<br />
του Υπουργείου Τουριστικής Ανάπτυξης και του εμπλουτισμού τους με υπηρεσίες αυτόματης<br />
εξυπηρέτησης καθώς και με την προμήθεια, εγκατάσταση και λειτουργία ενός υπολογιστικού<br />
συστήματος με 10, κατ’ ελάχιστον διασυνδεδεμένων μονάδων για την υποστήριξη<br />
των επιτόπιων επισκέψεων των χρηστών που δεν έχουν διαδικτυακή πρόσβαση, προκειμένου οι<br />
ενδιαφερόμενοι να μπορούν χωρίς προβλήματα και καθυστερήσεις να αντλήσουν τη σχετική<br />
πληροφόρηση.<br />
• Το Σύστημα τηλεπικοινωνιών «Σύζευξις», η συσχέτιση με το οποίο έγκειται στο ότι εξασφαλίζει<br />
την απαραίτητη τηλεπικοινωνιακή διασύνδεση μεταξύ του χώρου εγκατάστασης του κεντρικού<br />
εξοπλισμού και των κτιρίων των Διευθύνσεων του Υπουργείου Τουριστικής Ανάπτυξης.<br />
Το ΟΠΣ διασυνδέεται με τους παρακάτω φορείς 59 :<br />
• Τράπεζα της Ελλάδας, από την οποία ενημερώνεται το σύστημα για τα αποτελέσματα της έρευνας<br />
συνόρων. Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με το πέρας της επεξεργασίας<br />
των ερωτηματολογίων της έρευνας της ΤΤΕ<br />
• Ελληνική Στατιστική Υπηρεσία Ελλάδας, η οποία προμηθεύει το σύστημα με τα ακόλουθα:<br />
o<br />
o<br />
Τουριστική κίνηση και δαπάνη των κατοίκων της χώρας (εγχώριος και εξερχόμενος τουρισμός)<br />
από την Έρευνα Διακοπών.<br />
Αριθμός αφίξεων τουριστών στις πύλες εισόδου της χώρας (αεροδρόμια, λιμάνια, οδικοί<br />
και σιδηροδρομικοί συνοριακοί σταθμοί) από την Έρευνα Αφίξεων Συνόρων.<br />
59<br />
Με τα υπάρχοντα δεδομένα δεν είναι δυνατή η άμεση διασύνδεση των συστημάτων λόγω έλλειψης ΠΣ των ανωτέρω<br />
φορέων, τα οποία να περιλαμβάνουν τις ζητούμενες πληροφορίες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
156
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
o<br />
o<br />
Αφίξεις και Διανυκτερεύσεις σε ξενοδοχεία από την Έρευνα Αφίξεων/Διανυκτερεύσεων σε<br />
Ξενοδοχεία.<br />
Οικονομικά Στοιχεία για τις επιχειρήσεις του κλάδου 55 (Ξενοδοχεία και Εστιατόρια) από<br />
την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Τουρισμού.<br />
o Οικονομικά Στοιχεία από την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Μεταφορών, Α-<br />
ποθήκευσης και Επικοινωνιών.<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Κύκλος εργασιών τριμήνου ξενοδοχειακών επιχειρήσεων - εστιατορίων - μπαρ - συναφών<br />
επιχειρήσεων, δείκτης τουριστικών υπηρεσιών από την Τριμηνιαία Έρευνα τζίρου Ξενοδοχείων.<br />
Στοιχεία κίνησης Μουσείων και Αρχαιολογικών Χώρων από την Έρευνα Κίνησης Μουσείων<br />
και Αρχαιολογικών Χώρων.<br />
Εθνικοί Λογαριασμοί.<br />
Στοιχεία Απασχόλησης από την Έρευνα Εργατικού Δυναμικού.<br />
Σύνθεση νοικοκυριών, απασχόληση των μελών τους, συνθήκες στέγασης και δαπάνες διαβίωσής<br />
τους, καθώς και εισοδήματά από την Έρευνα Οικογενειακών Προϋπολογισμών.<br />
Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με τη δημοσίευση των αντίστοιχων πινακων<br />
από την ΕΣΥΕ.<br />
• Ξενοδοχειακό Επιμελητήριο της Ελλάδας, το οποίο ενημερώνει το σύστημα για τα Στοιχεία λειτουργίας<br />
Ξενοδοχείων και Κάμπινγκ της χώρας. Η συχνότητα διεπαφής είναι σε επίπεδο μήνα,<br />
έτσι ώστε να είναι όσο το δυνατό ποιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ.<br />
• Εθνικά Τουριστικά Ακίνητα, σύμφωνα με το οποίο το Πληροφοριακό σύστημα ενημερώνεται με<br />
στοιχεία τουριστικών ακινήτων, όπως μαρίνες, συνεδριακά κέντρα (έτος κατασκευής, χωρητικότητα<br />
κλπ). Η συχνότητα διεπαφής πρέπει να είναι σε επίπεδο τριμήνου, έτσι ώστε να είναι<br />
όσο το δυνατό πιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ.<br />
5.4.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος<br />
βαθμός επικινδυνότητας αποτιμήθηκε ως 3/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές:<br />
• Πλαστοπροσωπία από Εσωτερικούς Χρήστες<br />
• Πλαστοπροσωπία από Εξωτερικούς Χρήστες<br />
• Εισαγωγή Κακόβουλου Κώδικα- Ιομορφικού Λογισμικού<br />
• Παρεμβολές στις Επικοινωνίες<br />
• Παρεμπόδιση Επικοινωνιών<br />
• Αδυναμία Επικοινωνίας<br />
• Βλάβη Κλιματισμού<br />
• Πυρκαγιά<br />
• Φυσική Καταστροφή<br />
• Κλοπή (από εσωτερικούς)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
157
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εσωτερικούς)<br />
• Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εξωτερικούς )<br />
Από την αποτίμηση των αγαθών - περιουσιακών στοιχείων του ΟΠΣ του έργου δεν προκύπτουν σημαντικές<br />
απαιτήσεις σε ότι αφορά την εμπιστευτικότητα (confidentiality), τη διαθεσιμότητα (availability)<br />
και την ακεραιότητα (integrity) των δεδομένων και των ΠΣ. Οι απαιτήσεις για διατήρηση της<br />
εμπιστευτικότητας των δεδομένων απορρέουν κατά μείζονα λόγο από την δεδηλωμένη ανάγκη<br />
προστασίας των πρωτογενών δεδομένων, των ενδιάμεσων αποτελεσμάτων και των μελετών που προορίζονται<br />
για φορείς του Ελληνικού Δημοσίου. Η απαίτηση για ακεραιότητα και διαθεσιμότητα των<br />
δεδομένων προκύπτει από το σημαντικό ρόλο του ΟΠΣ στην παροχή ορθής πληροφόρησης και την<br />
υποστήριξη των διαδικασιών Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα καθώς και από την<br />
εικόνα που προβάλλεται στο ευρύ κοινό και τους ξένους φορείς τουρισμού (ΠΟΤ, ΟΑΣΑ, Eurostat<br />
κτλ).<br />
Όσον αφορά το Σχέδιο αντιμετώπισης περιστατικών, έχει τεθεί στόχος αποκατάστασης της λειτουργίας<br />
του το χρονικό διάστημα των δεκαπέντε ημερών. Σε αυτό το διάστημα περιλαμβάνεται και ο<br />
χρόνος που απαιτείται για την προμήθεια του εξοπλισμού που έχει καταστραφεί, δεν περιλαμβάνεται,<br />
όμως, ο χρόνος που απαιτείται για την αποκατάσταση των κτιριακών εγκαταστασεων, στην περίπτωση<br />
που έχουν υποστεί σοβαρή ζημία ή καταστροφή.<br />
Στο πλαίσιο του Σχεδίου Αντιμετώπισης Έκτακτων Περιστατικών, προτείνεται επίσης Σχέδιο Λήψης<br />
και Διαχείρισης Εφεδρικών Αντιγράφων (backup plan). Περιγράφονται επίσης οι απαραίτητες προπαρασκευαστικές<br />
ενέργειες για την εφαρμογή του Σχεδίου.<br />
Έχουν προδιαγραφεί οι εξής δοκιμές (individual tests):<br />
• γενικοί έλεγχοι που πρέπει να γίνουν σε όλες τις οθόνες διαχείρισης, δηλαδή στις οθόνες που ε-<br />
κτελούν μία ή περισσότερες από τις ενέργειες της εισαγωγής, διαγραφής, τροποποίησης και αναζήτησης<br />
εγγραφών.<br />
• ειδικά σενάρια ελέγχου, δηλαδή σενάρια που αναφέρονται σε συγκεκριμένες επεξεργασίες και<br />
περιλαμβάνουν μία ή περισσότερες οντότητες (οθόνες, εκτυπώσεις, αλγόριθμοι) του συστήματος.<br />
Τα αποτελέσματα των δοκιμών δεν ήταν διαθέσιμα στην παρούσα φάση ενώ δεν εντοπίστηκε κάποιο<br />
παραδοτέο για τον έλεγχο εφαρμογής των αντιμέτρων.<br />
5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου<br />
(ΥΛΠΗΣΔΕΔ)<br />
5.4.3.1 Στοιχεία ταυτότητας έργου<br />
Ο σκοπός του έργου «Παροχή υπηρεσιών λειτουργίας συστήματος Διαχείρισης της Εκπαιδευτικής<br />
Διαδικασίας και του Εκπαιδευτικού Περιεχομένου (ΥΛΠΗΣΔΕΔ)» είναι η παροχή υπηρεσίας λειτουργίας<br />
Πληροφοριακού Συστήματος Διαχείρισης των εκπαιδευτικών διαδικασιών του Εθνικού Κέντρου<br />
Δημόσιας Διοίκησης και Αυτοδιοίκησης (ΕΚΔΔΑ). Η προσφερόμενη υπηρεσία πρόκειται να<br />
υποστηρίξει το ΕΚΔΔΑ στην αναβάθμιση της Δημόσιας Διοίκησης μέσω της υποστήριξης των εκπαιδευτικών<br />
διαδικασιών του ΕΚΔΔΑ στο πλαίσιο ενός μοντέλου μικτής κατάρτισης (blended learning).<br />
Η εφαρμογή του παραπάνω πλαισίου θα δώσει τη δυνατότητα στην Δημόσια Διοίκηση να αντεπεξέλθει<br />
με επιτυχία στις ανάγκες που απορρέουν από την πορεία της προς την Ηλεκτρονική Διακυβέρνηση<br />
και την εφαρμογή διαδικασιών δια βίου εκπαίδευσης. Στο πλαίσιο αυτό το ΕΚΔΔΑ έχει α-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
158
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ναλάβει να υλοποιήσει άμεσα ένα μεγάλο αριθμό προγραμμάτων κατάρτισης (1300) μέσω των οποίων<br />
αναμένεται να καταρτιστούν 21.000 στελέχη της Δημόσιας Διοίκησης.<br />
Φορέας έργου:<br />
Ανάδοχος:<br />
Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης<br />
Ένωση OTENET Α.Ε- ΑΠΟΨΗ Α.Ε- ΚΟΡΥΜΒΟΣ Α.Ε<br />
ΣΤΥ: -<br />
Μελετητής Ασφάλειας: Από τον ίδιο τον ανάδοχο<br />
Προϋπολογισμός έργου: 2.953.385,13 €<br />
Διάρκεια έργου:<br />
21 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία<br />
Data Center:<br />
DC2<br />
Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ<br />
5.4.3.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Η προτεινόμενη αρχιτεκτονική προβλέπει την δημιουργία ενός ανεξάρτητου τοπικού δικτύου το<br />
οποίο θα διαχωρίζεται σε τρεις ζώνες:<br />
Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού<br />
περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
A) Την εξωτερική ζώνη διασύνδεσης με το τοπικό δίκτυο του ΣΥΖΕΥΞΙΣ και μέσω αυτού στο<br />
Διαδίκτυο (Reverse Proxy Servers, το οποίο είναι υπεύθυνο για τη παρουσιάση της εκπαιδευτικής<br />
πύλης στον τελικό χρήστη. Η συγκεκριμένη υλοποίηση τοποθετεί μπροστά απο τους web application<br />
servers του ΟΠΣ, και μετά το firewall, μια μηχανή υποδοχής των συνδέσεων που προέρχονται<br />
απο το εξωτερικό δίκτυο (WAN) και απευθύνονται προς αυτούς.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
159
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Β) Την αποστρατιωτικοποιημένη ζώνη (DMZ)<br />
• Σύστημα ασύγχρονης τηλεκπαίδευσης και Σύστημα δημιουργίας και διαχείρισης εκπαιδευτικού<br />
υλικού<br />
• Σύστημα σύγχρονης τηλεκπαίδευσης<br />
• Σύστημα Διαχείρισης και Διακίνησης Εγγράφων<br />
• Συστήματα του Report Manager και Analytics Server τα οποία είναι υπεύθυνα για την παραγωγή<br />
διαφόρων στατιστικών στοιχείων<br />
• Notification και SMTP Server<br />
• Active Directory<br />
Γ) Την εσωτερική ζώνη<br />
• Βάση δεδομένων<br />
• Backup Εξυπηρετητής<br />
• Κοινό δικτυακό σύστημα αποθήκευσης (Storage Area Network).<br />
• Μanagement VLAN, το οποίο περιλαμβάνει όλη την υλικοτεχνική υποδομή σε εξοπλισμό και<br />
λογισμικό, η οποία θα χρησιμοποιηθεί από την Ένωση για την παροχή της Υπηρεσία Παρακολούθησης<br />
Επιπέδου Συμφωνίας Υπηρεσιών (ΥΠΕΣΥ - SLA).<br />
Δ) To δίκτυο θα υλοποιηθεί μέσω δύο Cisco gigabit μεταγωγέων επιπέδου 3. Ο διαχωρισμός του<br />
δικτύου σε ζώνες θα γίνει μέσω δύο Cisco Firewall σε διάταξη Fail over και την δημιουργία των α-<br />
παραίτητων VLAN. Το τοπικό δίκτυο του OΠΣ θα ελέγχεται για επιθέσεις μέσω συστήματος IDS,<br />
ενώ το ειδικό λογισμικό προστασίας από ιούς θα εγκατασταθεί σε κάθε εξυπηρετητή.<br />
5.4.3.3 Παρεχόμενες υπηρεσίες<br />
Το ΟΠΣ παρέχει τις εξής υπηρεσίες:<br />
• Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών και Περιεχομένου, που υποστηρίζει το σύνολο<br />
των εκπαιδευτικών διαδικασιών του ΕΚΔΔΑ και ενσωματώνει τις παρακάτω υπηρεσίες:<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών<br />
Υπηρεσία Συγγραφής και Δημοσίευσης Εκπαιδευτικού Υλικού<br />
Υπηρεσία Διαχείρισης Χρηματοροών και Δεικτών<br />
Υπηρεσία Διαχείρισης Σύγχρονης Τηλεκπαίδευσης<br />
Υπηρεσία Διαχείρισης Περιεχομένου<br />
• Υπηρεσία Διαχείρισης και Διακίνησης Εγγράφων, η οποία υποστηρίξει το ΕΚΔΔΑ στη διαχείριση<br />
και διακίνηση των ψηφιακών του εγγράφων, στην ψηφιοποίηση των διαφόρων φυσικών<br />
εγγράφων και στην οργάνωσή τους μέσω ηλεκτρονικών πρωτοκόλλων επιτρέποντας την εύκολη<br />
και γρήγορη αναζήτηση, την ηλεκτρονική διακίνησή τους στα περιφερειακά τμήματα του<br />
ΕΚΔΔΑ.<br />
• Υπηρεσία Εγγραφής και Εξουσιοδότησης Χρηστών<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
160
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Υπηρεσία Δημοσίευσης/Προβολής Λειτουργιών και Περιεχομένου Εκπαιδευτικής Πύλης, η οποία<br />
επιτρέπει τη δημοσίευση πολλαπλών δικτυακών πυλών οι οποίες χρησιμοποιούν τις ίδιες υπηρεσίες<br />
διατηρώντας όμως πλήρη ανεξαρτητοποίηση όσον αφορά το περιεχόμενο. Το ΕΚΔΔΑ<br />
μπορεί να δημιουργήσει ανεξάρτητους δικτυακούς τόπους προσαρμοσμένους στις ανάγκες του<br />
εκάστοτε φορέα (Νομαρχίες, Περιφέρειες, Υπουργεία) διατηρώντας ενιαίο τρόπο διαχείρισης<br />
του συνόλου των υπηρεσιών. Η κάθε επιμέρους δικτυακή πύλη θα αποτελεί το σημείο εισόδου<br />
για όλες τις κατηγορίες χρηστών (διαχειριστές, εκπαιδευόμενοι, εκπαιδευτές) και θα δίνει τη<br />
δυνατότητα της διαφανούς χρήσης όλων των επιμέρους υπηρεσιών της ΥΛΠΗΣΔΕΔ.<br />
• Υπηρεσία Διανομής Περιεχομένου<br />
5.4.3.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• ΣΥΖΕΥΞΙΣ<br />
Η σύνδεση της Διαδικτυακής Πύλης με τρίτα συστήματα, καθώς και η πρόσβαση των χρηστών<br />
στις υπηρεσίες της, θα πραγματοποιηθεί μέσω του δικτύου Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ.<br />
Επίσης, προβλέπεται ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών<br />
χρηστών (στελέχη Δημοσίου) στις λειτουργίες της Πύλης θα πραγματοποιείται με χρήση της<br />
PKI υποδομής του ΣΥΖΕΥΞΙΣ.<br />
• Πληροφοριακό Σύστημα του ΕΚΔΔΑ<br />
Το ΕΚΔΔΑ διαθέτει πληροφοριακό σύστημα μέσω του οποίου διαχειρίζεται τις εκπαιδευτικές<br />
διαδικασίες που απορρέουν από την υλοποίηση προγραμμάτων κατάρτισης τόσο με ιδία μέσα<br />
όσο και με ανάθεση σε τρίτους Η ΥΛΠΗΣΔΕΔ αποσκοπεί να ενσωματώσει και γενικότερα να<br />
ολοκληρώσει το σύνολο των επιχειρησιακών διαδικασιών που υλοποιούνται από το Πληροφοριακό<br />
Σύστημα του ΕΚΔΔΑ.<br />
• Σύστημα εκπαίδευσης (Υποέργο 8 ΣΥΖΕΥΞΙΣ)<br />
Η ΥΛΠΗΣΔΕΔ στοχεύει να διαλειτουργεί πλήρως με το υπάρχον πληροφοριακό σύστημα διαχείρισης<br />
της εκπαίδευσης το οποίο έχει δημιουργηθεί στο πλαίσιο του Υποέργου 8 του έργου<br />
ΣΥΖΕΥΞΙΣ και βρίσκεται σε ειδικά διαμορφωμένο computer room στις εγκαταστάσεις του<br />
ΕΚΔΔΑ εντός του δικτύου ΣΥΖΕΥΞΙΣ.<br />
5.4.3.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Η μελέτη εκπονήθηκε από τον ίδιο τον Ανάδοχο, ενώ δεν εντοπίστηκε κάποιο άλλο παραδοτέο από<br />
εξωτερικό μελετητή. Χρησιμοποιήθηκε η μεθοδολογία CRAMM, o μέγιστος βαθμός επικινδυνότητας<br />
είναι 5/7, ενώ οι σημαντικότερες απειλές που εντοπίστηκαν είναι:<br />
• Εισαγωγή Ιομορφικού ή Κακόβουλου Λογισμικού<br />
• Λάθη χρήστη<br />
• Φωτιά<br />
• Πλαστοπροσωπία<br />
• Μη εξουσιοδοτημένη χρήση εφαρμογής<br />
• Πλημμύρα<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
161
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Κλοπή (από εσωτερικούς χρήστες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρήστες)<br />
Το Σχέδιο Ασφάλειας περιλαμβάνει μια σειρά από αντίμετρα, σε 21 κατηγορίες, τα σημαντικότερα<br />
των οποίων είναι η δημιουργία οργανωτικού πλαισίου για τη διαχείριση της ασφάλειας, η πραγματοποίηση<br />
εσωτερικών ελέγχων, η ευαισθητοποίηση, ενημέρωση, εκπαίδευση σε θέματα ασφάλειας<br />
ΠΣ, η υιοθέτηση της πολιτικής Ασφάλειας ΠΣ, η Προστασία προσωπικών δεδομένων, η προστασία<br />
από κινδύνους προερχόμενους από το Διαδίκτυο και η διαχείριση συνθηματικών και λογαριασμών<br />
χρηστών.<br />
Το σύστημα επεξεργάζεται ευαίσθητα δεδομένα εκπαιδευόμενων Φορέων, αλλά αυτό δεν ανακλάται<br />
στα σχέδιο ασφαλείας με επιπλέον μέτρα, εκτός αυτών του ελέγχου προσπέλασης. Όσον αφορά<br />
τη συνέχιση της λειτουργίας, προδιαγράφεται η χρήση εφεδρικών αντίγραφων δεδομένων, δεν προβλέπεται<br />
εφεδρικός χώρος εγκατάστασης και δεν εντοπίστηκε σχέδιο ανάκαμψης καταστροφών.<br />
Τέλος, υπάρχει πολιτική ασφάλειας.<br />
5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές<br />
Υγείας, Δημόσιας Υγιεινής και Κοιvωνικής Πρόνοιας<br />
5.4.4.1 Στοιχεία ταυτότητας έργου<br />
Στόχος των Ολοκληρωμένων Πληροφοριακών Συστημάτων Νομαρχιακών Αυτοδιοικήσεων ΝΑ)<br />
είναι η βελτιστοποίηση της λειτουργίας των ΝΑ και των παρεχόμενων υπηρεσιών προς τον πολίτη,<br />
με βασικούς άξονες:<br />
• Την ομογενοποίηση των διαδικασιών και των εντύπων των ΝΑ λαμβάνοντας υπόψη την διαφοροποίηση<br />
τους λόγω μεγέθους και πιθανών λειτουργικών ιδιαιτεροτήτων,<br />
• Την ανάπτυξη, παραμετροποίηση, εγκατάσταση και λειτουργία πληροφοριακού συστήματος<br />
που επιτρέπει τη διαχείριση της ροής τυποποιημένων εργασιών και πληροφοριών για το σύνολο<br />
των ΝΑ της χώρας καθώς και την παρακολούθηση των αιτημάτων/υποθέσεων των πολιτών<br />
από τους προϊσταμένους των ΝΑ και τον ίδιο τον πολίτη,<br />
• Την παροχή υπηρεσιών εκπαίδευσης και υποστήριξης των χρηστών κατά τη διάρκεια της<br />
περιόδου καλής (πιλοτικής) λειτουργίας,<br />
• Την εξασφάλιση της καλής λειτουργίας των εφαρμογών στις κατά τόπους ΝΑ,<br />
• Την παροχή υπηρεσιών τεχνικής και επιστημονικής υποστήριξης στο πλαίσιο της παραγωγικής<br />
λειτουργίας του έργου,<br />
• Την παροχή υπηρεσιών συντήρησης και υποστήριξης του συστήματος.<br />
Πιο συγκεκριμένα, αυτό το έργο στοχεύει:<br />
• Στη βελτίωση του βαθμού ενημέρωσης του πολίτη σε σχέση με τις δραστηριότητες των Νομαρχιακών<br />
Αυτοδιοικήσεων στις λειτουργικές περιοχές Υγείας και Δημόσιας Υγιεινής και Κοινωνικής<br />
Πρόνοιας αλλά και τις απαραίτητες ενέργειες και δικαιολογητικά για την έκδοση των<br />
αδειών/πιστοποιητικών και την χορήγηση των επιδομάτων που δικαιούται.<br />
• Στη βελτίωση του βαθμού εξυπηρέτησης του πολίτη αφού θα μπορεί να διεκπεραιώνει τις υποθέσεις<br />
του που αφορούν θέματα υγειονομικού ενδιαφέροντος ή κοινωνικής πρόνοιας ταχύτερα<br />
και πιο αξιόπιστα, μέσω της δημιουργίας κατάλληλων υποσυστημάτων του Πληροφοριακού<br />
Συστήματος,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
162
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Στη δημιουργία των απαραίτητων βάσεων δεδομένων που αφορούν δικαιούχους επιδομάτων<br />
και αδειών,<br />
• Στην αποτελεσματικότερη υποστήριξη των δημοσίων φορέων με άμεση πρόσβαση σε καθορισμένα<br />
δεδομένα των λειτουργικών περιοχών Υγείας και Δημόσιας Υγιεινής και Κοινωνικής<br />
Πρόνοιας,<br />
• Στη μείωση του κόστους λειτουργίας και στην αύξηση της παραγωγικότητας των Νομαρχιακών<br />
Αυτοδιοικήσεων που θα επιτευχθεί με την αυτοματοποίηση και την απλούστευση των διαδικασιών<br />
που θα προσφέρει ο νέος τρόπος λειτουργίας μέσω του πληροφοριακού συστήματος,<br />
• Στην ανάπτυξη της υποδομής τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) προκειμένου<br />
οι Νομαρχίες να συνδεθούν με έργα που αφορούν σε υπηρεσίες προς τον πολίτη που σχεδιάζει<br />
το ΥΠΕΣΔΔΑ και η ΚτΠ.<br />
Φορέας έργου:<br />
Ανάδοχος:<br />
ΣΤΥ:<br />
Μελετητής Ασφάλειας:<br />
Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας<br />
5.4.4.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Οι εφαρμογές βασίζονται σε δύο κεντρικά συνιστώντα μέρη (components)<br />
• Στον Oracle Database Server<br />
• Στον Oracle Application Server.<br />
Στο αμέσως επόμενο επίπεδο βρίσκονται τα ενδιάμεσα συνιστώντα μέρη<br />
• Oracle Collaboration<br />
• Data Abstraction layer (Hibernate/Toplink)<br />
• Controller Layer (Struts)<br />
• Portal CMS<br />
• Document Caching Engine<br />
• Oracle Workflow<br />
Τέλος υπάρχουν τα συνιστώντα μέρη (Components) στο επίπεδο των εφαρμογών που είναι<br />
• Υποσύστημα Υγείας<br />
• Υποσύστημα Κοινωνικής Πρόνοιας<br />
ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές<br />
περιοχές Υγείας και Δημόσιας Υγιεινής και Πρόνοιας),<br />
ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ ΚΑΙ ΠΡΟΝΟΙΑΣ<br />
Ένωση IBM Ελλάς Α.Ε. – QUALITY και RELIABILITY A.E.<br />
ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION<br />
SERVICES A.E.<br />
ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION<br />
SERVICES A.E.<br />
Προϋπολογισμός έργου: 4.358.054,00 €<br />
Διάρκεια έργου:<br />
21 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία<br />
Data Center:<br />
DC1<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
163
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Διαδικτυακή Πύλη (Portal)<br />
• Πρωτόκολλο<br />
• Σύστημα Διοικητικής Πληροφόρησης (MIS)<br />
• Σύστημα Διαχείρισης Ροών Εργασίας<br />
Η διασυνδεσιμότητα και οι αλληλεπιδράσεις μεταξύ των υποσυστημάτων είναι οι ακόλουθες (σε<br />
bottom– up σειρά):<br />
• Όλες οι εφαρμογές λαμβάνουν υπόσταση (instantiate) στον Oracle Application Server.<br />
• Το Oracle Workflow είναι υποσύστημα Layer πάνω από τον Application Server<br />
• Το Portal CMS έχει πρόσβαση στα έγγραφα του συστήματος μέσω του Document Caching<br />
engine. Η πρόσβασή του στα υπόλοιπα δομημένα δεδομένα της Oracle DB γίνεται μέσω του<br />
Data Abstraction Layer.<br />
• Όλες οι thin client εφαρμογές έχουν πρόσβαση στο περιεχόμενο τους (μέσω του CMS) και στα<br />
δομημένα δεδομένα τους (μέσω του Data Abstraction Layer και του CMS). Για διαδικασίες με<br />
ροή καλείται το Oracle Workflow<br />
• Οι rich client εφαρμογές λαμβάνουν υπόσταση στον Forms/Reports Server και μέσω αυτού έ-<br />
χουν πρόσβαση στα έγγραφα μέσω Document Caching και στα δομημένα δεδομένα της Oracle<br />
DB με απ’ ευθείας πρόσβαση. Τα υποσυστήματα Υγείας και Κοινωνικής Πρόνοιας, κατά την<br />
εκτέλεση της διαδικασίας υποβολής (είτε από το Portal είτε από τις εφαρμογές) καλεί το υποσύστημα<br />
Πρωτοκόλλου για την Πρωτοκόλληση «εγγράφων» (αιτήσεων). Για διαδικασίες με<br />
ροή καλείται το Oracle Workflow.<br />
5.4.4.3 Παρεχόμενες υπηρεσίες<br />
Το Σύστημα προσφέρει τις παρακάτω λειτουργίες:<br />
• Λειτουργίες Αυθεντικοποίησης και Ελέγχου Πρόσβασης<br />
• Υποσύστημα Πρωτοκόλλου<br />
• Υποσυστήματα Εφαρμογών<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Υποσύστημα φορέων παροχής υπηρεσιών υγείας<br />
Υποσύστημα ιατρικών και παρα-ιατρικών επαγγελμάτων<br />
Υποσύστημα ελέγχου καταστημάτων υγειονομικού ενδιαφέροντος<br />
Υποσύστημα διαχείρισης φαρμάκων και εμβολίων<br />
Υποσύστημα λοιπών λειτουργιών περιοχής Υγείας και Δημόσιας Υγιεινής<br />
Υποσύστημα διαχείρισης επιδομάτων κοινωνικής πρόνοιας<br />
Υποσύστημα οικονομικής διαχείρισης εσόδων και εξόδων κοινωνικής πρόνοιας<br />
Υποσύστημα ελέγχου και εποπτείας Φορέων Κοινωνικής Αντίληψης και Φροντίδας<br />
Υποσύστημα Κοινωνικών Υπηρεσιών<br />
Υποσύστημα Παροχών Κοινωνικής Αρωγής<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
164
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Υποσύστημα Πληροφόρησης Διοίκησης (MIS)<br />
• Λειτουργίες Ηλεκτρονικού Ταχυδρομείου / Επικοινωνίας Χρηστών (Collaboration)<br />
• Υπηρεσίες Διαδικτυακής Πύλης (Portal)<br />
• Υποσύστημα Διαχείρισης Ροής Εργασιών<br />
• Υποσύστημα Διαχείρισης Πόρων (π.χ. Βάσεων Δεδομένων, τμημάτων εφαρμογών, κτλ.)<br />
Οι χρήστες τους συστήματος είναι οι εξής:<br />
1. Προσωπικό Νομαρχιακών Διευθύνσεων Υγείας και Πρόνοιας<br />
• Εργαζόμενοι εντός των Νομαρχιακών Αυτοδιοικήσεων, στις Λειτουργικές Περιοχές Υγείας και<br />
Δημόσιας Υγιεινής και Κοινωνικής Πρόνοιας, βασικοί χρήστες του συστήματος. Διαχειρίζονται<br />
πληροφορίες οι οποίες έχουν ως αποδέκτες και τις υπόλοιπες ομάδες χρηστών του εξωτερικού<br />
περιβάλλοντος των ΝΑ.<br />
• Διοίκηση των Νομαρχιών για διοικητικές πληροφορίες με την έκδοση τυποποιημένων αναφορών<br />
και στατιστικών στοιχείων και αναλύσεων.<br />
• Διαχειριστές συστήματος, ανά Νομαρχία, με αποστολή τη διασφάλιση της επικοινωνίας για τεχνικά<br />
θέματα με τους κεντρικούς διαχειριστές και την παροχή βοήθειας στους απλούς χρήστες.<br />
Θα μπορούν να επέμβουν σε διαφορετικό επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές<br />
της.<br />
2. Χρήστες του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης:<br />
• Υπηρεσίες των Διευθύνσεων του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Έχουν δυνατότητα<br />
αναζήτησης των εγγεγραμμένων στα αρχεία δεδομένων με ασφαλή σύνδεση με τη<br />
βάση δεδομένων του δικτύου των Νομαρχιών και τήρηση όλων των προβλεπόμενων για τα ευαίσθητα<br />
προσωπικά δεδομένα, και δυνατότητα διαχείρισης των φαρμάκων και εμβολίων που<br />
χορηγούν στις Νομαρχίες με στόχο τη βέλτιστη οικονομο-τεχνικά διαχείριση των σχετικών α-<br />
ποθεμάτων.<br />
• Διοίκηση του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Δυνατότητα σύνθεσης τυποποιημένων<br />
αναφορών, στατιστικών και απολογιστικών στοιχείων για τις δραστηριότητες των<br />
Νομαρχιακών Αυτοδιοικήσεων στις Λειτουργικές Περιοχές Υγείας και Δημόσιας Υγιεινής και<br />
Κοινωνικής Πρόνοιας, με δυνατότητα ορισμού των στοιχείων που εμφανίζονται από τον χρήστη<br />
(επιλέγοντας ανάμεσα στα πεδία που θα τηρούνται στα βασικά αρχεία του κάθε υποσυστηματος)<br />
(για παράδειγμα, σημαντικά στατιστικά στοιχεία θα μπορούσαν να προκύψουν με βάση<br />
το γεωγραφικό διαμέρισμα, την ηλικία, το φύλο κλπ.)<br />
• Κεντρικοί διαχειριστές (στο Υπουργείο Υγείας και Κοινωνικής Αλληλεγγύης ), με αποστολή<br />
τη συντήρηση της εφαρμογής και την ενημέρωσή της. Θα μπορούν να επέμβουν σε διαφορετικό<br />
επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές της.<br />
3. Λοιποί φορείς<br />
• Λοιποί συναλλασσόμενοι/συνεργαζόμενοι φορείς, όπως το ΚΗΥΚΥ.<br />
4. Ενδιαφερόμενοι Πολίτες και Οργανισμοί:<br />
• Πολίτες ή οργανισμοί που εντάσσονται στις λειτουργίες των ΝΑ, όπως πχ. γηροκομεία). Πληροφορίες<br />
σχετικές με τις λειτουργικές περιοχές. Ο ενδιαφερόμενος πολίτης αντλεί πληροφορίες<br />
για τα δικαιολογητικά κατά περίπτωση αιτήματος και για τις λεπτομέρειες επικοινωνίας με τη<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
165
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
νομαρχία στην οποία ανήκει (διεύθυνση, τηλέφωνο, e-mail). Παρέχεται η δυνατότητα ηλεκτρονικής<br />
συνδιαλλαγής των πολιτών με τις Νομαρχιακές Αυτοδιοικήσεις, με ηλεκτρονική υποβολή<br />
αιτημάτων και δικαιολογητικών και ηλεκτρονική αποστολή πιστοποιητικών.<br />
5.4.4.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό<br />
μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.<br />
5.4.4.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία OCTAVE και οι σημαντικότερες απειλές που εντοπίστηκαν είναι<br />
οι εξής:<br />
• Παραβίαση Κανόνων Πολιτικής Ασφάλειας του ΟΠΣΝΑ<br />
• Αποκάλυψη ευαίσθητης πληροφορίας από την Κεντρική Βάση Δεδομένων.<br />
• Είσοδος Κακόβουλου Κώδικα σε πληροφοριακό σύστημα<br />
• Πλαστοπροσωπία από Εσωτερικό χρήστη<br />
• Βλάβη πληροφοριακού συστήματος<br />
• Πτώση Τάσεως στα πληροφορικά συστήματα.<br />
• Μη εξουσιοδοτημένη χρήση εφαρμογής<br />
• Λανθασμένη χρήση εφαρμογής<br />
• Σεισμός<br />
• Πυρκαγιά<br />
• Βλάβη Πληροφοριακού Συστήματος<br />
• Τεχνική Βλάβη Υπηρεσίας.<br />
Έχουν ληφθεί διάφορα μέτρα ασφάλειας και εκτός από τα συνήθη μέτρα για τη διαθεσιμότητα, η<br />
κύρια έμφαση δίδεται στα Μέτρα Σχετικά με την Εμπιστευτικότητα και την Ακεραιότητα. Τα σημαντικότερα<br />
είναι τα εξής:<br />
• Σε ιδιαιτέρως ευαίσθητα δεδομένα συνιστάται η χρήση ψηφιακών πιστοποιητικών για την αυθεντικοποίηση<br />
του εκάστοτε χρήστη σε αυτά.<br />
• Χρήση του πρωτοκόλλου ασφάλειας SSL3 στα 128 bits (και με X.509 v.3 πιστοποιητικά των<br />
1024 bits όπως αναφέρθηκε παραπάνω) για την επίτευξη ασφαλούς επικοινωνίας των διαφορετικών<br />
επιπέδων της αρχιτεκτονικής της εφαρμογής.<br />
• Πρόσβαση σε επίπεδο βάσης δεδομένων, τόσο κατά την δημιουργία της όσο και για την online<br />
σύνδεση των εφαρμογών με αυτή, με διαφορετικά username/passwords.<br />
• Δυνατότητα ενεργοποίησης του logging σε επίπεδο βάσης δεδομένων με ταυτόχρονη απόθήκευση<br />
των log αρχείων στο λειτουργικό σύστημα και με δυνατότητα πρόσβασης σε αυτά μόνο<br />
από εξουσιοδοτημένα πρόσωπα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
166
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Επιλεκτική κρυπτογράφηση ευαίσθητων δεδομένων κατά την αποθήκευση των τελευταίων στη<br />
βάση, όταν αυτό κριθεί αναγκαίο, με την χρήση ισχυρών αλγορίθμων π.χ. 3-key 3DES (168-bit<br />
keys).<br />
• Συνεχής έλεγχος σε κρίσιμα πεδία (query strings, URLs, post-ed data, cookies κλπ.) για την α-<br />
ποφυγή εισχώρησης ιομορφικού κώδικα (ή cross-site scripting) από μη εξουσιοδοτημένους<br />
χρήστες, οι οποίοι έχουν δικαίωμα πρόσβασης επίσκεψης σε μη-ευαίσθητες πληροφορίες.<br />
• Χρήση ενδεδειγμένων τεχνικών όπως το filter-out single quote, double quote, slash, back slash,<br />
semi colon, extended character (null, carry return, new line κ.α), για την αποφυγή παράνομης<br />
πρόσβασης σε αποθηκευμένα δεδομένα στο σύστημα.<br />
• Η ανάπτυξη ενός ολοκληρωμένου συστήματος διαχείρισης κλειδιών στις περιπτώσεις χρησιμοποίησης<br />
πιστοποιητικών θεωρείται αναγκαία.<br />
• Χρήση ειδικών μεθόδων ελέγχου για την διατήρηση της ακεραιότητας των πληροφοριών των<br />
βάσεων δεδομένων με την χρήση συναρτήσεων κατακερματισμού (hash) ή ακόμα και ψηφιακών<br />
υπογραφών όπου αυτό κρίνεται απαραίτητο.<br />
Υπάρχει προδιαγεγραμμένη πολιτική ασφάλειας, ενώ δεν προβλέπεται Σχέδιο Αποκατάστασης Καταστροφών.<br />
Προβλέπεται η λήψη αντιγράφων ασφαλείας και η ύπαρξη εφεδρικού εξοπλισμού, αλλά<br />
δεν προκύπτει η ανάγκη για εφεδρικό χώρο εγκατάστασης.<br />
5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές<br />
Εμπορίου και Ανωνύμων Εταιριών<br />
5.4.5.1 Στοιχεία ταυτότητας έργου<br />
Το έργο «Ανάπτυξη και Εφαρμογή Συστημάτων Πληροφορικής των Νομαρχιακών Αυτοδιοικήσεων:<br />
Λειτουργικές Περιοχές Εμπορίου και Ανωνύμων Εταιριών» εντάσσεται σε μια σειρά έργων για<br />
τις ΝΑ, όπως αυτό που εξετάσαμε στην προηγούμενη ενότητα. Πιο συγκεκριμένα, στοχεύει στη<br />
βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακόλουθους άξονες:<br />
• Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου,<br />
• Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών,<br />
• Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων, εμφάνιση νέων υπηρεσιών),<br />
• Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα,<br />
• Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος,<br />
• Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.).<br />
Βασικός στόχος του πληροφοριακού συστήματος είναι να καλύψει δύο μεγάλες θεματικές κατηγορίες<br />
στις λειτουργικές περιοχές που αναφέρεται σε:<br />
• Υποστήριξη όλων των διαδικασιών που απορρέουν από τις αρμοδιότητες της κάθε λειτουργικής<br />
περιοχής, όπως αυτές εμφανίζονται στους κανονισμούς που διέπουν τη λειτουργία τους και<br />
με πλήρη εκμετάλλευση των τεχνολογιών πληροφορικής. Η θεματική αυτή κατηγορία εμπεριέχει<br />
αντικείμενα όπως:<br />
o<br />
o<br />
Αδειοδοτήσεις μέσω διαχείρισης μητρώων και λοιπών αρχείων,<br />
Παρακολούθηση και μηχανογραφική υποστήριξη διαδικασιών,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
167
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
o<br />
Εξαγωγή πληροφοριών και υποστήριξη προγραμματισμού.<br />
• Εισαγωγή και εκμετάλλευση νέων υπηρεσιών διαδικτυακής φύσης προς όφελος του εξυπηρετουμενου<br />
πολίτη και του φορέα, η οποία διασπάται σε δύο διαφορετικής φύσης υποενότητες:<br />
o<br />
o<br />
Δημιουργία αμφίδρομων ηλεκτρονικών διεπαφών με τον ενδιαφερόμενο προς εξυπηρέτηση<br />
των αιτημάτων του προς το φορέα.<br />
Παροχή μονόδρομης πληροφόρησης σχετικά με τις λειτουργικές περιοχές και τις διαδικασίες<br />
τους.<br />
Φορέας έργου:<br />
ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές<br />
περιοχές Εμπορίου και Ανωνυμών Εταρειών)<br />
Ανάδοχος:<br />
Ένωση SIEMENS Α.Ε. – QUALITY και RELIABILITY A.E.<br />
ΣΤΥ:<br />
ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E.<br />
Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και<br />
Μελετητής Ασφάλειας: Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής,<br />
Οικονομικό Πανεπιστήμιο Αθηνών<br />
Προϋπολογισμός έργου: 2.178.042,00 €<br />
Διάρκεια έργου:<br />
18 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία<br />
Data Center:<br />
DC1<br />
Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E.<br />
5.4.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Το σύστημα απεικονίζεται στο Σχήμα 28 και περιλαμβάνει τα εξής δομικά στοιχεία:<br />
• Εξυπηρετητές Εφαρμογών (Application Servers): αποτελείται από ένα σύνολο φυσικών Application<br />
Servers, ανοικτής και ανεξάρτητης αρχιτεκτονικής εξοπλισμού και λειτουργικού συστηματος,<br />
αρχιτεκτονικής Java/J2EE, που χρησιμοποιείται για την εκτέλεση όλης της επιχειρηματικής<br />
λογικής των εφαρμογών. Επικοινωνεί με το περιβάλλον Web Server για μεταφορά δεδομενων<br />
από και προς τους σταθμούς εργασίας. Επικοινωνεί με τον Database Server μέσω JDBC<br />
για πρόσβαση/διαχείριση των δεδομένων των εφαρμογών. Επικοινωνεί επίσης για ανταλλαγή<br />
δεδομένων και συναλλαγών με άλλους φορείς, με χρήση του πρωτοκόλλου XML/HTTP(S) ή<br />
του πρωτοκόλλου Web Services (SOAP).<br />
• Εξυπηρετητής Βάσεων Δεδομένων (Database Server): σύστημα διαχείρισης σχεσιακών βάσεων<br />
δεδομένων, που χρησιμοποιείται για την πρόσβαση και την διαχείριση των δεδομένων των<br />
εφαρμογών.<br />
• Εξυπηρετητές Δικτύου (Web Servers): χρησιμοποιείται για την πρόσβαση των σταθμών εργασίας<br />
και επικοινωνεί μαζί τους με δεδομένα HTML και πρωτόκολλο HTTP/HTTPS. Απόμονώνει<br />
τους Application και Database Servers από την απευθείας πρόσβαση των χρηστών. Επικοινωνεί<br />
με το περιβάλλον Application Servers για την εξυπηρέτηση των συναλλαγών των χρηστών<br />
μέσω της κλήσης εφαρμογών επιχειρηματικής λογικής και την παραλαβή και ακόλουθη<br />
μεταφορά των αποτελεσμάτων σε μορφή δυναμικών HTML σελίδων προς τους σταθμούς εργασίας.<br />
Δεν επικοινωνεί απευθείας με τον Database Server. Η επικοινωνία με τους σταθμούς<br />
εργασίας θα γίνεται με το πρωτόκολλο HTTP/HTTPS.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
168
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
169
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• E-mail/DNS/Development Server: χρησιμοποιείται σαν Mail (POP3) Server, μέσω του λογισμικού<br />
Oracle Mail, και σαν DNS Server. Λειτουργεί επίσης και σαν Server ανάπτυξης/δοκιμών,<br />
με το περιβάλλον ανάπτυξης/δοκιμών του Application Server και Database Server.<br />
• Σύστημα Ασφαλείας: χρησιμοποιείται για τον έλεγχο της πρόσβασης των σταθμών εργασίας<br />
προς το σύστημα. Συγκεκριμένα, αποτελείται από σύστημα Firewall που διαχωρίζει το TCP/IP<br />
δίκτυο σε ανεξάρτητες ζώνες, με ελεγχόμενη μέσω του Firewall επικοινωνία ανάμεσα στις ζώνες.<br />
Το Firewall έτσι υλοποιεί τις ζώνες δικτύου: εξωτερικό δίκτυο (ΣΥΖΕΥΞΙΣ), Ενδιάμεσο<br />
δίκτυο (DMZ) και Εσωτερικό Δίκτυο. Το Firewall επιτρέπει την πρόσβαση των σταθμών εργασίας<br />
μόνον προς το ενδιάμεσο δίκτυο DMZ (Demilitarized Zone). Στο DMZ τοποθετούνται,<br />
για πρόσβαση από τους χρήστες, το περιβάλλον των Web Servers, για πρόσβαση στις εφαρμογές,<br />
καθώς και το περιβάλλον και Mail/DNS Server για πρόσβαση προς τις υπηρεσίες POP3<br />
Mail Server και DNS (Domain Name Services). Το σύστημα ασφαλείας επιτρέπει την ελεγχόμενη<br />
διακίνηση των συναλλαγών των χρηστών από/προς τους Web Servers και Mail Server<br />
στο DMZ προς/από τους Application Servers στο εσωτερικό δίκτυο.<br />
5.4.5.3 Παρεχόμενες υπηρεσίες<br />
Αποδέκτες των υπηρεσιών της λειτουργικής περιοχής Εµπορίου και Ανωνύµων Εταιριών, ανά λειτουργική<br />
περιοχή, είναι:<br />
Λειτουργική Περιοχή Εµπορίου<br />
• Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η αδειοδότηση των ε-<br />
παγγελµάτων πλανόδιου εµπορίου, η διενέργεια ελέγχων καταστηµάτων και επιχειρήσεων ως<br />
αποτέλεσµα καταγγελιών παραβάσεων αγορανοµικών διατάξεων, η διενέργεια προληπτικών ε-<br />
λέγχων καταστηµάτων και επιχειρήσεων µε στόχο τη προστασία των καταναλωτών.<br />
• Εµπορικές και βιοµηχανικές επιχειρήσεις: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις εµπορικές<br />
και βιοµηχανικές επιχειρήσεις είναι η αδειοδότηση λειτουργίας εµπορικών εκθέσεων, ο<br />
αρχικός και περιοδικός έλεγχος µέτρων και σταθµών των πρατηρίων καυσίµων, η παρακολούθηση<br />
των ψυκτικών εγκαταστάσεων και η διενέργεια τιµοληψιών µε στόχο το καθορισµό των<br />
τιµών στα βασικά αγαθά πώλησης προς τους δηµόσιους οργανισµούς.<br />
• Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες<br />
τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι η ενηµέρωση των α-<br />
ποτελεσµάτων των καθορισµένων αλλά και έκτακτων προγραµµάτων ελέγχου της αγοράς.<br />
Λειτουργική Περιοχή Ανωνύµων Εταιριών<br />
• Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η έγκριση άδειας σύστασης<br />
Ανωνύµων Εταιριών, η παροχή διαφόρων πληροφοριακών στοιχείων σχετικά µε το<br />
τηρούµενο µητρώο Ανωνύµων Εταιριών.<br />
• Ανώνυµες Εταιρίες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις Ανώνυµες Εταιρίες είναι η<br />
παροχή κατάλληλων βεβαιώσεων και δικαιολογητικών.<br />
• Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως απόδέκτες<br />
τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι ο έλεγχος των πρακτικών<br />
των οργάνων των Ανωνύµων Εταιριών ως προς την νοµιµότητα και την εκτέλεση των<br />
αποφάσεων, ο έλεγχος των υποχρεώσεων των Ανωνύµων Εταιριών καθώς επίσης και η επιβολή<br />
προστίµων στις Ανώνυµες Εταιρίες οι οποίες παραβαίνουν το ισχύον νοµοθετικό πλαίσιο.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
170
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ)<br />
Οι διαδικασίες οι οποίες θα προσφέρονται µέσω των ΚΕΠ είναι:<br />
o<br />
o<br />
Λειτουργική περιοχή Ανωνύµων Εταιριών<br />
1. Έγκριση Σύστασης Α.Ε.<br />
2. Έγκριση Εγκατάστασης Υποκαταστηµάτων Αλλοδαπών Ανωνύµων Εταιριών και ΕΠΕ<br />
3. Έκδοση Βεβαιώσεων<br />
4. Παροχή Πληροφόρησης<br />
Λειτουργική περιοχή του Εµπορίου:<br />
1. Υποβολή Καταγγελίας<br />
2. Έκδοση άδειας Λειτουργίας Εµπορικών Εκθέσεων<br />
• Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ»<br />
Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ, και με το ευρύ<br />
κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.<br />
5.4.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος<br />
βαθμός επικινδυνότητας αποτιμήθηκε ως 5/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές:<br />
• Εισαγωγή Ιομορφικού Λογισμικού<br />
• Αστοχία Λογισμικού Συστήματος και Δικτύου<br />
• Λάθη Χρήστη<br />
• Σφάλμα Συντήρησης Υλικού<br />
• Σφάλμα Συντήρησης Λογισμικού<br />
• Λάθος χειρισμού<br />
• Αστοχία Λογισμικού Εφαρμογών<br />
• Βλάβη Συσκευής Δικτυακής Πύλης (Network Gateway)<br />
• Πλαστοπροσωπία από εσωτερικούς χρήστες<br />
• Πλαστοπροσωπία από παρόχους υπηρεσιών<br />
• Πλαστοπροσωπία από εξωτερικούς χρήστες<br />
• Διήθηση Επικοινωνιών<br />
• Παρείσφρηση Επικοινωνιών<br />
• Παρεμβολή Επικοινωνιών<br />
• Μη εξουσιοδοτημένη χρήση εφαρμογής<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
171
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Αδυναμία Επικοινωνίας<br />
• Κλοπή (από εξωτερικούς χρήστες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρήστες)<br />
• Φυσική Καταστροφή<br />
• Βλάβη Κλιματισμού<br />
• Πλημμύρα<br />
Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυναμίες,<br />
που πρέπει να αντιμετωπιστούν κατά προτεραιότητα:<br />
• Περιορισμένος βαθμός κατάρτισης των χρηστών σε θέματα ασφάλειας ΠΣ.<br />
• Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ.<br />
• Πολύπλοκη διοικητική οργάνωση των ΝΑ, σε σχετικά θέματα, και έλλειψη ενός επιτελικού οργάνου.<br />
• Ελλιπής κατάρτιση σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών σε<br />
θέματα ασφάλειας χρήσης διαδικτύου και ηλεκτρονικής αλληλογραφίας.<br />
• Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων<br />
• Ελλιπής κατάρτιση, αξιόλογου μέρους του προσωπικού και των μελλοντικών χρηστών, στην ε-<br />
παρκή χρήση ηλεκτρονικών υπολογιστών<br />
Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά<br />
των συστάσεων της μελέτης είναι οι εξής:<br />
• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας του ΠΣΕΑΕ και της εγκατάστασης<br />
του Data Center.<br />
• Η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit).<br />
• Η ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας σε στέλεχος με κατάλληλα προσόντα.<br />
• Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και<br />
της Μελέτης Ασφάλειας.<br />
• Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπικού<br />
σε βασικά θέματα Ασφάλειας.<br />
Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχειας<br />
λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει<br />
Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-<br />
σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site<br />
- failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι τα περισσότερα υλοποιήθηκαν<br />
από τον ανάδοχο σε ικανοποιητικό επίπεδο, ενώ για κάποια εκκρεμούσε η υλοποίησή τους.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
172
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή<br />
Πολεοδομίας<br />
5.4.6.1 Στοιχεία ταυτότητας έργων<br />
Το έργο «Ηλεκτρονική Πολεοδομία Ι - Σύστημα Ηλεκτρονικής Παρακολούθησης και Αυτόματης<br />
Διαχείρισης των Πληροφοριών και των Εργασιών των Πολεοδομικών Υπηρεσιών» εντάσσεται σε<br />
μια σειρά έργων για τις ΝΑ, όπως τα δύο προηγούμενα έργα. Το παρόν έργο αφορά την ανάπτυξη<br />
Πληροφοριακού Συστήματος για τον Τομέα Πολεοδομίας που σχετίζεται εξ αντικειμένου με το<br />
ΥΠΕΧΩΔΕ. Σκοπός του παρόντος έργου είναι η βελτιστοποίηση της λειτουργίας των πολεοδομιών<br />
ανά την επικράτεια μέσω της αυτοματοποίησης ορισμένων εσωτερικών διαδικασιών τους. Επιμέρους<br />
στόχοι είναι:<br />
• Η απλοποίηση (μέσα στο ισχύον νομικό πλαίσιο) και αυτοματοποίηση των διαδικασιών των<br />
Π.Υ. με στόχο τη βελτίωση της ποιότητας των υπηρεσιών στους πολίτες<br />
• Η ηλεκτρονική καταγραφή της εσωτερικής κίνησης των εισερχομένων εγγράφων με ιδιαίτερη<br />
έμφαση στην παρακολούθηση των διαδοχικών χρεώσεων, που κατά κανόνα απαιτούνται για τη<br />
διεκπεραίωση μιας υπόθεσης<br />
• H γρήγορη αναζήτηση, επεξεργασία και εκτύπωση εισερχομένων και εξερχόμενων εγγράφων<br />
και αιτήσεων πολιτών και η δημιουργία, συντήρηση και ασφάλεια των αρχείων:<br />
o<br />
o<br />
Στελεχών οικοδομικών αδειών<br />
Πράξεων Αυθαιρέτων<br />
• Η παροχή διοικητικής πληροφόρησης στα αρμόδια στελέχη του ΥΠΕΣΔΔΑ και του ΥΠΕΧΩ-<br />
ΔΕ.<br />
• Η συνεργασία και η διαλειτουργικότητα με άλλους φορείς της Δημόσιας Διοίκησης.<br />
Πιο συγκεκριμένα, στοχεύει στη βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακόλουθους<br />
άξονες:<br />
• Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου (ακρίβεια,<br />
συνέπεια, ασφάλεια κλπ.).<br />
• Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών.<br />
• Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων και εμφάνιση νέων υπηρεσιών).<br />
• Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα.<br />
• Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος.<br />
• Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
173
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φορέας έργου:<br />
ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές περιοχές<br />
Πολεοδομίας)<br />
Ανάδοχος:<br />
Ένωση Εταιρειών «SINGULAR INTERGATOR - UNISYSTEMS»<br />
ΣΤΥ<br />
ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E.<br />
Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και<br />
Μελετητής Ασφάλειας: Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, Οικονομικό<br />
Πανεπιστήμιο Αθηνών<br />
Προϋπολογισμός έργου: 3.547.388,00 €<br />
Διάρκεια έργου: 18 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία<br />
Data Center<br />
DC1<br />
Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας<br />
5.4.6.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Η φυσική αρχιτεκτονική του πληροφοριακού συστήματος χωρίζει τους εξυπηρετητές σε δύο δικτυακές<br />
περιοχές (Demilitarized Zone, Trusted Domain) και τρία φυσικά στρώματα (Διεπαφή Χρήστη,<br />
Αποθήκευση Δεδομένων, Εφαρμογών). Ο εξυπηρετητής Βάσεων Δεδομένων και οι Εξυπηρετητές<br />
Εφαρμογών βρίσκονται στο ίδιο Domain. Οι Εξυπηρετητές Δικτύου βρίσκονται εκτός<br />
Domain στην Demilitarized Zone, μεταξύ των δύο τείχων προστασίας. Οι Εξυπηρετητές Δικτύου<br />
απαγορεύεται να επικοινωνήσουν με τον εξυπηρετητή Βάσεων Δεδομένων, με τον οποίο μπορούν<br />
να επικοινωνήσουν μόνο οι Εξυπηρετητές Εφαρμογών (βλ. Σχήμα 29)<br />
Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
174
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.6.3 Παρεχόμενες υπηρεσίες<br />
Οι χρήστες και οι υπηρεσίες του συστήματος είναι οι εξής:<br />
• Ηλεκτρονικό Πρωτόκολλο Πολεοδομιών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες)<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Πρωτοκόλληση Εισερχομένων Εγγράφων<br />
Πρωτοκόλληση Εξερχομένων Εγγράφων<br />
Δυνατότητα επισύναψης ηλεκτρονικών εγγράφων στις εγγραφές πρωτοκόλλου<br />
Εκτύπωση Αποδεικτικού παραλαβής εγγράφου με τα στοιχεία του πρωτοκόλλου<br />
Χρέωση εισερχομένων θεμάτων στα αντίστοιχα τμήματα της Υπηρεσίας ή σε υπαλλήλους.<br />
Συσχέτιση εγγραφών με τις προηγούμενες εγγραφές της υπόθεσης.<br />
Αναζήτηση και καταχώριση των συναλλασσομένων με την Πολεοδομική Υπηρεσία, με<br />
διαχείριση αντίστοιχου αρχείου και αποφυγή των διπλοκαταχωρήσεων<br />
Αναζήτηση και καταχώριση διευθύνσεων που αφορούν ακίνητα και ιδιοκτησίες. Διαχείριση<br />
του αντίστοιχου αρχείου και δυνατότητα συσχέτισης εγγραφών με βάση την διεύθυνση.<br />
Δυνατότητα πολλαπλών αναζητήσεων των εγγραφών πρωτοκόλλου<br />
Εκτύπωση του Βιβλίου Πρωτοκόλλου και πληροφοριακών εκτυπώσεων.<br />
• Διαχείριση και Έκδοση Οικοδομικών Αδειών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες,<br />
Μηχανικοί)<br />
Παρακολουθείται όλη η διαδικασία έκδοσης οικοδομικής άδειας από το αρχικό στάδιο της υ-<br />
ποβολής του φακέλου για τον έλεγχο πληρότητας, μέχρι την χορήγηση της αδείας, η οποία θα<br />
πρέπει να συνοδεύεται κατ΄ ελάχιστον και από τη σάρωση του στελέχους της και του σχετικού<br />
Διαγράμματος Κάλυψης. Καταγράφονται όλες οι εσωτερικές και εξωτερικές κινήσεις του<br />
φακέλου, μέσω χρεώσεων σε συγκεκριμένους υπαλλήλους, και ενημερώνονται οι συναλλασσόμενοι<br />
μηχανικοί είτε μέσω email εφόσον είναι διαθέσιμο είτε με αυτόματη εκτύπωση και απόστολή<br />
με fax του δελτίου παρατηρήσεων για τυχόν παρατηρήσεις των ελεγκτών. Συνοπτικά οι<br />
λειτουργίες που υποστηρίζονται είναι:<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Έλεγχος Πληρότητας φακέλου οικοδομικών Αδειών.<br />
Δημιουργία ηλεκτρονικού Φακέλου Οικοδομικών Αδειών με καταχώρηση των απαραίτητων<br />
στοιχείων.<br />
Δημιουργία και συντήρηση αρχείου διευθύνσεων που θα προσδιορίζουν όσο το δυνατό μοναδικά<br />
την κάθε κατασκευή ή ιδιοκτησία, και θα δίνει την δυνατότητα συσχέτισης της με<br />
σχετικές υποθέσεις.<br />
Χρέωση Φακέλου σε αρμόδιο χρήστη.<br />
Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την έκδοση Οικοδομικής Άδειας.<br />
Χρέωση κάθε Σταδίου Ελέγχου στο κατάλληλο τμήμα ή υπάλληλο.<br />
Καταγραφή των παρατηρήσεων του υπαλλήλου-ελεγκτή του σταδίου που προκύπτουν κατά<br />
τον έλεγχο.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
175
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Προγραμματισμό και Καταγραφή των συναντήσεων με τους αντίστοιχους μηχανικούς ή<br />
πολίτες για τις ανάγκες ελέγχου του σταδίου.<br />
Σύνδεση της κάθε παρατήρησης με τι εγγραφές πρωτοκόλλου που αντιστοιχούν στις απαντήσεις.<br />
Έκδοση Οικοδομικών Αδειών με δημιουργία ηλεκτρονικού αρχείου Αδειών<br />
Έλεγχος υπέρβασης του χρονικού ορίου έκδοσης άδειας (εννιάμηνο)<br />
Έκδοση λοιπών αδειών και βεβαιώσεων που χειρίζεται το τμήμα.<br />
Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος<br />
Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους.<br />
Δυνατότητα πολλαπλών αναζητήσεων οικοδομικών αδειών και υποθέσεων του τμήματος<br />
Εκτύπωση του Πίνακα Ενημέρωσης Κοινού.<br />
Εκτύπωση λειτουργικών αναφορών.<br />
• Έλεγχος Κατασκευών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες, Μηχανικοί)<br />
Παρακολουθείται όλη η διαδικασία ελέγχου κατασκευών ανά περίπτωση (αυθαίρετα-επικίνδυνα-υγρασίες),<br />
παρέχοντας στους χρήστες προσυμπληρωμένα έγγραφα με βάση τη κείμενη νομοθεσία,<br />
τα οποία καταχωρούνται αυτόματα στο φάκελο της ιδιοκτησίας, παρέχοντας στο χρήστη<br />
εργαλεία αναζήτησης και εύκολης διαχείρισης του αρχείου. Το υποσύστημα υπολογίζει<br />
αυτόματα τα πρόστιμα ανέγερσης και διατήρησης, με βάση τις ισχύουσες διατάξεις, ενώ παράλληλα<br />
ενημερώνει και παρακολουθεί το φάκελο ως προς τις προθεσμίες των ενεργειών της<br />
Π.Υ. και παρέχει στο χρήστη ημερολόγιο δραστηριοτήτων για την καλύτερη οργάνωση των<br />
διαδικασιών. Οι λειτουργίες που υποστηρίζει είναι:<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Διαχείριση καταγγελιών για αυθαίρετες κατασκευές.<br />
Δημιουργία ηλεκτρονικού Φακέλου Αυθαίρετων Κατασκευών με τις αντίστοιχες καταχωρήσεις<br />
των απαραίτητων στοιχείων.<br />
Δημιουργία και συντήρηση του αρχείου διευθύνσεων που θα προσδιορίζουν κατά το<br />
δυνατό μοναδικά κάθε κατασκευή ή ιδιοκτησία και θα δίνει την δυνατότητα συσχέτισης<br />
των υποθέσεων αυθαίρετων κατασκευών της αντίστοιχες σχετικές υποθέσεις και Οικοδομικές<br />
Άδειες.<br />
Χρέωση Φακέλου Υπόθεσης σε αρμόδιο χρήστη.<br />
Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου<br />
μιας καταγγελίας για αυθαίρετη κατασκευή, όπως:<br />
Προγραμματισμός Αυτοψίας<br />
1. Ορισμός υπαλλήλων αυτοψίας<br />
2. Διενέργεια Αυτοψίας<br />
3. Θυροκόλληση<br />
4. Καταγραφή αποτελεσμάτων αυτοψίας<br />
5. Υπολογισμός Προστίμων Ανέγερσης και Διατήρησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
176
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
6. Διαχείριση Ένστασης κατά Έκθεσης Αυτοψίας και καταχώριση των αποφάσεων της<br />
επιτροπής.<br />
7. Διαχείριση Αίτησης Αποδοχής<br />
8. Οριστικοποίηση Αυθαιρέτου και ένταξη του σε λίστα για κατεδάφιση<br />
9. Υπολογισμός Ετήσιων Προστίμων Διατήρησης<br />
Δημιουργία Χρηματικών Καταλόγων<br />
Διαχείριση Αίτησης Εξαίρεσης από Κατεδάφιση.<br />
Διαχείριση Φακέλων Επικινδύνων Κατασκευών<br />
Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου<br />
μιας καταγγελίας επικινδύνου, όπως:<br />
Προγραμματισμός Αυτοψίας<br />
Ορισμός υπαλλήλων αυτοψίας<br />
Διενέργεια Αυτοψίας<br />
Θυροκόλληση<br />
Έκδοση Διακοπής ή Συνέχισης Εργασιών<br />
Διαχείριση Ένστασης<br />
Διαχείριση Φακέλων Υγρασιών<br />
Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου<br />
υπόθεσης που αφορά υγρασίες.<br />
Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος<br />
Μακροπρόθεσμο μαζικό προγραμματισμό Αυτοψιών<br />
Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους.<br />
Δυνατότητα πολλαπλών αναζητήσεων υποθέσεων του τμήματος και συσχέτιση τους με<br />
Οικοδομικές Άδειες.<br />
Εκτύπωση λειτουργικών αναφορών.<br />
• Διοικητική Πληροφόρηση (MIS)<br />
Λειτουργεί υποστηρικτικά για να συνεισφέρει στη λήψη επιχειρησιακών αποφάσεων που πρέπει<br />
ενδεχομένως να λάβουν διοικητικοί χρήστες του συστήματος. Αφορά την επεξεργασία των<br />
δεδομένων που συσσωρεύονται από τη λειτουργία των υπόλοιπων εφαρμογών του συστήματος.<br />
Το αποτέλεσμα της επεξεργασίας αυτής παρουσιάζεται στους εξουσιοδοτημένους χρήστες με<br />
τη μορφή κατάλληλων αναφορών (reports). Ο στόχος της εφαρμογής είναι τόσο να διαφαίνεται<br />
η εύρυθμη λειτουργία των Π.Υ. και του συστήματος όσο και να παρουσιάζει με συνοπτικό<br />
τρόπο συγκεντρωτικά στοιχεία των Π.Υ.<br />
• Πληροφόρηση Πολιτών (Portal)<br />
Περιλαμβάνει α) υπηρεσίες ενημέρωσης τις οποίες μπορεί να προσπελάσει κάθε πολίτης ανώνυμα<br />
και β) υπηρεσίες για τις οποίες ο χρήστης θα πρέπει να εισάγει τα στοιχεία του στο σύστημα<br />
και να αποκτήσει προσωπικό κωδικό πρόσβασης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
177
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.6.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ)<br />
o<br />
o<br />
Πληροφοριακό Σύστημα Ηλεκτρονικής Πολεοδομίας<br />
1. Παροχή καταλόγου Θεμάτων Αίτησης από κατάλογο Θεμάτων Ηλεκτρονικής Πολεοδομίας.<br />
2. Εμφάνιση κατάλογου Απαιτούμενων Δικαιολογητικών ανά Θέμα αίτησης<br />
3. Αναζήτηση και επιστροφή στοιχείων προσώπου με βάση το ΑΦΜ από το αρχείο προσώπων<br />
της Ηλεκτρονικής Πολεοδομίας.<br />
4. Αναζήτηση και επιστροφή στοιχείων διεύθυνσης από καταλόγους του συστήματος της<br />
Ηλεκτρονικής Πολεοδομίας(πόλη, Δήμος, κλπ).<br />
5. Παραλαβή ηλεκτρονικής Αίτησης<br />
6. Αποστολή στοιχείων Πρωτοκόλλου Πολεοδομικής Υπηρεσίας μετά την πρωτοκόλληση<br />
ηλεκτρονικής αίτησης.<br />
7. Αποστολή απόρριψης πρωτοκόλλησης αίτησης και αιτιολογίας απόρριψης.<br />
8. Ενημέρωση κατάστασης αίτησης με βάση στοιχεία πρωτοκόλλου.<br />
Πληροφοριακό Σύστημα ΚΕΠ<br />
9. Αποστολή ηλεκτρονικής αίτησης προς το σύστημα Ηλεκτρονικής Πολεοδομίας.<br />
10. Παραλαβή και καταχώριση στοιχείων πρωτοκόλλου Πολεοδομικής Υπηρεσίας.<br />
• Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ»<br />
Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό<br />
μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.<br />
5.4.6.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος<br />
βαθμός επικινδυνότητας αποτιμήθηκε ως 4/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές:<br />
• Εισαγωγή Κακόβουλου Κώδικα-Ιομορφικού Λογισμικού<br />
• Αστοχία Λογισμικού Συστήματος και Δικτύου<br />
• Λάθη Χρήστη<br />
• Αστοχία Λογισμικού Εφαρμογών<br />
• Πλαστοπροσωπία από εσωτερικούς χρήστες<br />
• Πλαστοπροσωπία από εξωτερικούς χρήστες<br />
• Μη εξουσιοδοτημένη χρήση εφαρμογής<br />
• Αδυναμία, Παρεμβολή και Παρείσφρηση Επικοινωνιών<br />
• Κλοπή (από εσωτερικούς χρήστες)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
178
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρή¬στες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρή¬στες)<br />
• Φυσική Καταστροφή<br />
• Φωτιά<br />
• Πλημμύρα<br />
Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυναμίες,<br />
που πρέπει να αντιμετωπιστούν κατά προτεραιότητα:<br />
• Περιορισμένος βαθμός ευαισθητοποίησης και κατάρτισης των χρηστών σε βασικά θέματα α-<br />
σφάλειας ΠΣ.<br />
• Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ.<br />
• Πολύπλοκη διοικητική οργάνωση του συνόλου των Π.Υ. της χώρας και έλλειψη ενός συγκεντρωτικού<br />
διοικητικού οργάνου.<br />
• Συγκέντρωση όλων των εφαρμογών σε ένα συγκεντρωτικό σύστημα που εξυπηρετεί πολλές<br />
διάσπαρτες γεωγραφικά Π.Υ.<br />
• Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων<br />
• Ελλιπής κατάρτιση, σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών,<br />
στη χρήση ηλεκτρονικών υπολογιστών<br />
Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά<br />
των συστάσεων της μελέτης είναι τα εξής:<br />
• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της εγκατάστασης του Data<br />
Center.<br />
• Η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit).<br />
• Η ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας σε στέλεχος με κατάλληλα προσόντα.<br />
• Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και<br />
της Μελέτης Ασφάλειας.<br />
• Η διασφάλιση της συνέχισης λειτουργίας των Πολεοδομικών Υπηρεσιών μετά από τεχνικό<br />
πρόβλημα και ιδιαίτερα η λήψη και διαχείριση των εφεδρικών αντιγράφων δεδομένων.<br />
• Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπικού<br />
σε βασικά θέματα Ασφάλειας.<br />
Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχειας<br />
λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει<br />
Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-<br />
σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site<br />
- failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι αυτά υλοποιήθηκαν από<br />
τον ανάδοχο σε ικανοποιητικό επίπεδο.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
179
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.7 ΡΑΠΤΑΡΧΗΣ<br />
5.4.7.1 Στοιχεία ταυτότητας έργου<br />
Σκοπός του Έργου με τίτλο «Μελέτη και Ανάπτυξη Συστήματος Αυτοματοποίησης της Διαδικασίας<br />
Διαχείρισης, Αρχειοθέτησης και Διάχυσης της Νομοθεσίας στο ευρύ Κοινό με την μορφή συνδρομητικής<br />
υπηρεσίας και της Διαδικασίας Αποτίμησης των Κανονιστικών Ρυθμίσεων» είναι η<br />
ορθή και έγκαιρη εκτέλεση της μελέτης και ανάπτυξης ενός συστήματος που θα αυτοματοποιήσει<br />
τη διαδικασία διαχείρισης της νομοθεσίας και ειδικότερα όσον αφορά:<br />
• στην αρχειοθέτηση της νομοθεσίας,<br />
• στην διάχυση της νομοθεσίας στο ευρύ κοινό (με μορφή συνδρομητικής υπηρεσίας)<br />
• στην διαδικασία αποτίμησης των κανονιστικών ρυθμίσεων.<br />
Φορέας έργου:<br />
ΥΠΕΣ<br />
Ανάδοχος:<br />
INTRACOM IT SERVICES<br />
ΣΤΥ:<br />
INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ<br />
Μελετητής Ασφάλειας: Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και<br />
Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής,<br />
Οικονομικό Πανεπιστήμιο Αθηνών<br />
Προϋπολογισμός έργου: 2.213.162,00 €<br />
Διάρκεια έργου:<br />
22 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία<br />
Data Center:<br />
DC1<br />
5.4.7.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ<br />
Το Πληροφοριακό Σύστημα αποτελείται από τα παρακάτω υποσυστήματα:<br />
• DOCASSET: Το βασικό υποσύστημα το οποίο θα είναι υπεύθυνο για τη διαχείριση των εγγράφων,<br />
την ψηφιοποίησή τους καθώς και τις υπηρεσίες που αφορούν το ηλεκτρονικό πρωτόκολλο.<br />
Για τη λειτουργία του συγκεκριμένου υποσυστήματος θα χρησιμοποιηθούν εκείνα τα τμήματα<br />
της ομώνυμης εφαρμογής τα οποία θα καλύπτουν τις απαραίτητες για τη λειτουργία του<br />
ΠΣ υπηρεσίες. Παράλληλα, θα χρησιμοποιηθεί το κατάλληλο λογισμικό για την υποστήριξη<br />
των βάσεων δεδομένων του ΠΣ (DocASSET Database).<br />
• BizSmart: Είναι το σύστημα μέσω του οποίου θα ορίζονται οι βασικές λειτουργίες και διαδικασίες<br />
ροών εργασίας του ΠΣ στο σύνολο του. Η λειτουργία του υποσυστήματος θα υποστηρίζεται<br />
από την ομώνυμη εφαρμογή (BizSmart web interfaces, BizSmart Server, BizSmart Database<br />
).<br />
• I-Box Portal Builder: Είναι το υποσύστημα το οποίο θα είναι υπεύθυνο για την παροχή των η-<br />
λεκτρονικών υπηρεσιών μέσω του Διαδικτύου χρησιμοποιώντας τμήματα της ομώνυμης εφαρμογής<br />
(Portal Site Web Services, Portal Site Administration, Portal Site, Portal Site Database).<br />
• Crystal Reports: Είναι το σύστημα μέσω του οποίο θα παράγονται δυναμικές αναφορές που<br />
σκοπό θα έχουν να παρέχουν στοιχεία σχετικά με την αποδοτικότητα, χρησιμότητα κλπ του ΠΣ<br />
ΡΑΠΤΑΡΧΗΣ και θα χρησιμοποιεί την ομώνυμη εφαρμογή.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
180
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• ΑΙΧΜΕΣ: Το υποσύστημα όπου μέσω της ομώνυμης εφαρμογής θα διευκολύνει τις υπηρεσίες<br />
διαχείρισης του λογιστηρίου και των αποθηκών.<br />
5.4.7.3 Παρεχόμενες υπηρεσίες<br />
Οι χρήστες των πληροφοριακών συστημάτων διακρίνονται στις ακόλουθες ομάδες:<br />
• Διαχειριστές Συστημάτων<br />
o<br />
o<br />
o<br />
Υπεύθυνος Μοντελοποίησης Διαδικασιών και Παρακολούθησης ηλεκτρονικής λειτουργίας<br />
διαδικασιών<br />
Υπεύθυνος Διαχείρισης Περιεχομένου<br />
Υπεύθυνος Διαχείρισης Χρηστών Συστημάτων και Δικαιωμάτων Πρόσβασης αυτών<br />
• Προσωπικό Υπηρεσίας διαχείρισης ΔΚΝ (βάσει διαδικασιών)<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Διοίκηση Υπηρεσίας<br />
Νομικοί Συνεργάτες<br />
Διοικητικό Προσωπικό<br />
Υπεύθυνοι Δακτυλογράφησης<br />
Προσωπικό Λογιστηρίου<br />
Υπεύθυνοι Αποθήκης Διακίνησης<br />
Προσωπικό Call Center και Help Desk<br />
Υπεύθυνος Παραγωγής CD/DVD<br />
• Προσωπικό λοιπών Δημοσίων Φορέων<br />
o<br />
o<br />
o<br />
Υπεύθυνος Προώθησης ΦΕΚ (από Εθνικό Τυπογραφείο)<br />
Υπεύθυνοι διαχείρισης λοιπών βάσεων δεδομένων νομικών πληροφοριών<br />
Συμμετέχοντες στη διαδικασία του ελέγχου ποιότητας και ανάλυσης των επιπτώσεων των<br />
κανονιστικών ρυθμίσεων/ αποφάσεων<br />
• Συνδρομητές Υπηρεσίας διαχείρισης ΔΚΝ<br />
o<br />
o<br />
Κύριοι Συνδρομητές (όλης της ύλης)<br />
Συνδρομητές Ειδικών Ενοτήτων<br />
• Ευρύ Κοινό - Πολίτες/Επιχειρήσεις που ενδιαφέρονται να ενημερωθούν για τη νομοθεσία<br />
Οι υπηρεσίες που παρέχονται είναι οι εξής:<br />
• Διαχείριση εγγράφων, Ψηφιοποίηση εγγράφων και Ηλεκτρονικό πρωτόκολλο: Το υποσύστημα<br />
διαχείρισης εγγράφων παρέχει τη δυνατότητα, οργάνωσης, αποθήκευσης και διακίνησης όλων<br />
των εγγράφων που χρησιμοποιούνται εσωτερικά (π.χ. ΦΕΚ, Τόμοι, τεύχη Πανδέκτη κλπ.), αλλά<br />
και στις συναλλαγές με εξωτερικούς φορείς, π.χ. πολίτες, άλλες υπηρεσίες, κτλ.<br />
• Διαχείριση Ροών Εργασίας: Σχετίζεται με το σχεδιασμό και τη διαχείριση των διαδικασιών<br />
(workflow management), καθώς και τη δυνατότητα ορισμού, εκτέλεσης και παρακολούθησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
181
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
διαδικασιών που αφορούν στην «κάθετη» λειτουργία της υπηρεσίας, αλλά και διαδικασιών που<br />
άπτονται των δραστηριοτήτων παρακολούθησης και εκτέλεσης έργων.<br />
• Πληροφοριακή Πύλη Προβολής και Διάθεσης ΔΚΝ: Παρέχει πληροφόρηση, προβολή και διάθεση<br />
της Νομοθεσίας (ΔΚΝ) και αποτελεί ένα σύστημα διαχείρισης της Παροχής Ηλεκτρονικών<br />
Υπηρεσιών μέσω Διαδικτύου με σκοπό να επιτευχθεί η ολοκλήρωση όλων των παρεχομενων<br />
υπηρεσιών σε ένα ομοιόμορφο περιβάλλον.<br />
• Ανάπτυξη και Διάθεση τόμων ΔΚΝ και τευχών ΠΑΝΔΕΚΤΗ: Περιλαμβάνει το σύνολο των<br />
διαδικασιών για τη ανάπτυξη και διάθεση των τόμων της ΔΚΝ και τευχών του ΠΑΝΔΕΚΤΗ<br />
σε μαγνητικά μέσα (CD/DVD) καθώς και μέσω ηλεκτρονικού ταχυδρομείου.<br />
• Δυναμική Παραγωγή Αναφορών.<br />
5.4.7.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• ΕΡΜΗΣ<br />
Το έργο ΕΡΜΗΣ παρουσιάζει τεράστια συνέργεια με το παρόν έργο μιας και η διάθεση των η-<br />
λεκτρονικών υπηρεσιών του παρόντος έργου θα γίνεται μέσα από την Εθνική Πύλη ΕΡΜΗΣ<br />
(το οποίο στην παρούσα φάση τελεί υπό ανάπτυξη).<br />
• Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ<br />
Η σύνδεση της Υπηρεσίας Διαχείρισης ΔΚΝ με το Data Center γίνεται μέσω του ΣΥΖΕΥΞΙΣ,<br />
και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. Επίσης προβλέπεται<br />
ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών χρηστών (στελέχη<br />
Δημοσίου) στις εφαρμογές που θα αναπτυχθούν, θα πραγματοποιείται με χρήση της PKI<br />
υποδομής του ΣΥΖΕΥΞΙΣ.<br />
• Τρίτα Συστήματα Δημοσίου Τομέα<br />
Το ΟΠΣ δύναται να συνδεθεί στο μέλλον με συστήματα άλλων φορέων, όπως το σύστημα του<br />
Εθνικού Τυπογραφείου, λοιπές βάσεις δεδομένων νομικού χαρακτήρα (Υπουργείο Δικαιοσύνης,<br />
Εθνικό Κοινοβούλιο και φορείς παραγωγής, εφαρμογής και κωδικοποίησης της νομοθεσίας),<br />
καθώς και η Κοινοτική Βάση Δεδομένων Νομικού Χαρακτήρα (NAT-LEX).<br />
5.4.7.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος<br />
βαθμός επικινδυνότητας αποτιμήθηκε ως 5/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές:<br />
• Εισαγωγή Κακόβουλου Κώδικα Λογισμικού<br />
• Λάθη Χρήστη<br />
• Βλάβη Εξυπηρετητή<br />
• Πλαστοπροσωπία από εσωτερικούς χρήστες<br />
• Πλαστοπροσωπία από εξωτερικούς χρήστες<br />
• Διήθηση Επικοινωνιών<br />
• Μη εξουσιοδοτημένη χρήση εφαρμογής<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
182
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Αδυναμία Επικοινωνίας<br />
• Βλάβη Κλιματισμού<br />
• Φωτιά<br />
• Πλημμύρα<br />
• Φυσική Καταστροφή<br />
• Ελλειψη Προσωπικού<br />
• Κλοπή (από εσωτερικούς χρήστες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες)<br />
• Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρήστες)<br />
Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά<br />
των συστάσεων της μελέτης είναι οι εξής:<br />
• Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της ε Η ταχεία υιοθέτηση και<br />
εφαρμογή της Πολιτικής Ασφάλειας του ΠΣ ΡΑΠΤΑΡΧΗΣ και της εγκατάστασης.<br />
• Η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit).<br />
• Η ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας σε στέλεχος με κατάλληλα προσόντα.<br />
• Η διαμόρφωση των Computer Rooms, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής<br />
και της Μελέτης Ασφάλειας.<br />
• Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπικού<br />
σε βασικά θέματα Ασφάλειας.<br />
Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά τη διασφάλιση της συνέχειας<br />
λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει<br />
Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-<br />
σφαλείας. Δεδομένου ότι υπάρχει ένα Computer Room και στην υπηρεσία διαχείρισης ΔΚΝ, αυτό<br />
λειτουργεί ως εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site – failover site).<br />
5.4.8 Εθνική Πύλη ΕΡΜΗΣ<br />
5.4.8.1 Στοιχεία ταυτότητας έργου<br />
Το αντικείμενο του έργου «Μελέτη και Ανάπτυξη της Κεντρικής Κυβερνητικής Διαδικτυακής<br />
Πύλης της Δημόσιας Διοίκησης για την Πληροφόρηση και Ασφαλή Διεκπεραίωση Ηλεκτρονικών<br />
Συναλλαγών των Πολιτών/Επιχειρήσεων (Εθνική Πύλη ΕΡΜΗΣ)» αποτελείται από τρεις διακριτές<br />
θεματικές περιοχές (άξονες):<br />
• Άξονας Α. Την ολοκληρωμένη συγκέντρωση και οργάνωση της κατάλληλης πληροφορίας από<br />
το σύνολο της Δημόσιας Διοίκησης και την διάθεσή της στο διαδίκτυο για την αξιόπιστη ενημερωση<br />
των πολιτών/επιχειρήσεων όσον αφορά τις συναλλαγές τους με την Δημόσια Διοίκηση<br />
και την αλληλεπίδραση τους με τον κρατικό μηχανισμό, από ένα κεντρικό σημείο, συμβάλλοντας<br />
στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 1ου και 2ου ε-<br />
πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επιχειρήσεις).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
183
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Άξονας Β. Την πλήρη υποστήριξη της διαλειτουργικότητας μεταξύ πληροφοριακών συστημάτων<br />
της Δημόσιας Διοίκησης και της ανάπτυξης και παροχής υπηρεσιών Ηλεκτρονικών Συναλλαγών<br />
με τον κρατικό μηχανισμό από ένα κεντρικό σημείο (ή και αποκεντρωμένα), συμβάλλοντας<br />
στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 3ου και 4ου ε-<br />
πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επιχειρήσεις).<br />
• Άξονας Γ. Την Ψηφιακή Αυθεντικοποίηση των πολιτών/επιχειρήσεων σε υπηρεσίες Ηλεκτρονικών<br />
Συναλλαγών της Δημόσιας Διοίκησης, συμβάλλοντας πλέον στην ανάπτυξη ασφαλών υ-<br />
πηρεσιών Ηλεκτρονικής Διακυβέρνησης σε κάθε επίπεδο.<br />
Φορέας έργου:<br />
ΥΠΕΣ<br />
Ανάδοχος:<br />
Info-Quest A.E.B.E., DE<strong>CIS</strong>ION – SYSTEM INTEGRATION AE<br />
(Ο άξονας Γ’ υλοποιείται από την Adacom)<br />
ΣΤΥ:<br />
INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ<br />
Μελετητής Ασφάλειας: Υπάρχουν δύο μελέτες ασφάλειας, μία από το Πανεπιστήμιο<br />
Πειραιώς και μία από τον Ανάδοχο του έργου<br />
Προϋπολογισμός έργου: 9.241.421,00 €<br />
Διάρκεια έργου:<br />
22 μήνες<br />
Τρέχουσα φάση έργου: Υπό ανάπτυξη<br />
Data Center:<br />
DC3 (υπό διαμόρφωση)<br />
Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ<br />
5.4.8.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Στο Σχήμα 30 και στο Σχήμα 31 παρουσιάζεται η αρχιτεκτονική και τα υποσυστήματα του ΕΡΜΗ,<br />
ανά άξονα.<br />
Άξονας Α’<br />
• Υποσύστημα Διαχείρισης Περιεχομένου και Ροών Εργασίας<br />
• Υποσύστημα Διαχείρισης Νομοθεσίας<br />
• Κεντρικό Μητρώο Δημοσίων Υπαλλήλων<br />
• Υποσύστημα Δημοσίευσης Περιεχομένου<br />
• Υποσύστημα Επικοινωνίας και Ανταλλαγής Απόψεων<br />
• Υποσύστημα Δημόσιων Διαβουλεύσεων και Σφυγμομετρήσεων<br />
• Υποσύστημα Διαχείρισης Κοινότητας Χρηστών<br />
• Υποσύστημα Διαχείρισης Banners<br />
• Υποσύστημα Εγγραφής Και Εξουσιοδότησης<br />
• Υποσύστημα Πίνακα Ανακοινώσεων για τους Εσωτερικούς Χρήστες Δημοσίων Φορέων<br />
• Υποσύστημα Διοικητικής Υποστήριξης<br />
Άξονας Β’<br />
• Υποσύστημα Διαχείρισης Λίστας Κατηγοριών Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
184
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
185
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
• Υποσύστημα Διαχείρισης και Οργάνωσης Διαδικτυακών Υπηρεσιών<br />
• Υποσύστημα Διαχείρισης Αρχείων Δεδομένων και Μεταδεδομένων Διαδικτυακών Υπηρεσιών<br />
• Υποσύστημα Ορισμού και Ανάπτυξης Νέων Υπηρεσιών Ηλεκτρονικών Συναλλαγών<br />
• Υποσύστημα Συσχέτισης Αναγνωριστικών Χρηστών<br />
• Υποσύστημα Ηλεκτρονικών Πληρωμών<br />
• Υποσύστημα Αυτοματοποίησης Διαδικασιών Εφαρμογής Διαλειτουργικότητας και Ανάπτυξης<br />
Υπηρεσιών Ηλεκτρονικών Συναλλαγών<br />
• Υποσύστημα Παρακολούθησης Λειτουργίας και Ποιότητας Παρεχόμενων Υπηρεσιών Ηλεκτρονικών<br />
Συναλλαγών<br />
Άξονας Γ’<br />
• Υποσύστημα Διαχείρισης Πιστοποιητικών (VSP – VeriSign Vertical Service Provider)<br />
• Υποσύστημα Διαχείρισης καρτών (Intercede MyID Card Management System)<br />
• Υποσύστημα Χρονοσήμανσης (nCipher Time Stamp)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
186
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.8.3 Παρεχόμενες υπηρεσίες<br />
Άξονας Α’<br />
Ο βασικός στόχος του Άξονα Α είναι να καταστεί ο Ερμής ως η μεγαλύτερη και σημαντικότερη<br />
πηγή πληροφορίας σε θέματα του Δημοσίου Τομέα που ενδιαφέρουν πολίτες και επιχειρήσεις. Ενοποιώντας<br />
την πληροφορία που υπάρχει διάσπαρτη στα διάφορα κυβερνητικά sites - σε συχνά αδόμητη<br />
μορφή - ο Ερμής φιλοδοξεί να εδραιωθεί στη συνείδηση του κοινού ως το μοναδικό βήμα που<br />
απαιτείται από το χρήστη να πραγματοποιήσει για να πληροφορηθεί για το Δημόσιο Τομέα (onestop-shop).<br />
Εφόσον δεν είναι ρεαλιστικό - τουλάχιστον σε αυτή τη φάση - το περιεχόμενο όλων των κυβερνητικών<br />
Φορέων να ενσωματωθεί στον Ερμή, και μάλιστα με ένα ενιαίο τρόπο, στόχος του Ερμή είναι<br />
να παρέχει στο κοινό και μια πλατφόρμα εκτεταμένης αναζήτησης σε όλους τους συνεργαζόμενους<br />
φορείς για περιεχόμενο. Το αποτέλεσμα αυτής της αναζήτησης θα είναι σύνδεσμοι στις ιστοσελίδες<br />
των φορέων.<br />
Τέλος, βασικός στόχος του Ερμή στον Άξονα Α είναι και η ενεργή συμμετοχή του κοινού στα δρώμενα<br />
που αφορούν στη Δημόσια Διοίκηση. Προς αυτή την κατεύθυνση θα παρέχει εργαλεία όπως<br />
σύστημα ανταλλαγής απόψεων, σφυγμομετρήσεις, mailing lists, newsletters, ανακοινώσεις, rss feed.<br />
Με τα προηγούμενα εργαλεία το έργο αποσκοπεί να παρουσιάσει ένα περισσότερο ανθρώπινο πρόσωπο<br />
προς το κοινό, το οποίο θα προσδίδει στο έργο κάτι παραπάνω από ένα portal παροχής περιεχομένου.<br />
Συνέργεια με άλλους Άξονες<br />
Για να επιτύχει τους στόχους του ο Άξονας Α θα πρέπει να έχει τη συνέργεια με τους υπόλοιπους<br />
δύο άξονες (Β και Γ). Συγκεκριμένα:<br />
• Ο Άξονας Β εμπλέκεται στο Ληξιαρχείο Διαδικτυακών υπηρεσιών, στο οποίο θα αποθηκεύεται<br />
κάθε διαδικτυακή υπηρεσία (web service). Σε αυτές θα ανήκουν και οι διαδικτυακές υπηρεσίες<br />
για τη συλλογή περιεχομένου, είτε από το σύστημα του Ερμή ή προς αυτό. Με αυτό τον τρόπο,<br />
κάθε Δημόσιος Φορέας που θα προσφέρει περιεχόμενο στον Ερμή με τη χρήση web services θα<br />
τις καταχωρεί στο Ληξιαρχείο Διαδικτυακών υπηρεσιών του Άξονα Β. Αντίστοιχα, για όποιους<br />
Φορείς είναι επιθυμητή η αυτόματη εισαγωγή περιεχομένου από τον Ερμή, θα πρέπει να<br />
υπάρχουν αποθηκευμένες στο Ληξιαρχείο κατάλληλες διαδικτυακές υπηρεσίες, τις οποίες οι<br />
Φορείς θα αναζητούν και θα αξιοποιούν.<br />
• Ο Άξονας Γ αφορά στη διαχείριση πιστοποιητικών και την ασφαλή είσοδο των χρηστών στο<br />
σύστημα. Η εμπλοκή του με τον Άξονα Α συνίσταται στην εγγραφή και είσοδο των εξουσιοδοτημένων<br />
χρηστών στα υποσυστήματα εισαγωγής και επικαιροποίησης περιεχομένου.<br />
Άξονας Β’<br />
Ο κύριος στόχος του Άξονα Β είναι η διαλειτουργικότητα μεταξύ των φορέων της δημόσιας διοίκησης<br />
και των υπηρεσιών που αυτοί παρέχουν στους τελικούς δικαιούχους. Τα άμεσα και απτά<br />
οφέλη από μία τέτοια διασύνδεση είναι:<br />
• η αυτόματη παροχή των αποτελεσμάτων των ενδιάμεσων υπηρεσιών κατά τη συλλογή των δικαιολογητικών<br />
μία τελικής υπηρεσίας,<br />
• η ηλεκτρονικοποίηση των βημάτων των πιο συχνά χρησιμοποιούμενων υπηρεσιών,<br />
• η μετάβαση του πεδίου αρμοδιοτήτων για την ολοκλήρωση των ενδιάμεσων υπηρεσιών απόκλειστικά<br />
στους φορείς,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
187
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• ο προσδιορισμός των περιττών βημάτων και η απλοποίηση των απαιτήσεων για τη διεκπεραίωση<br />
των υπηρεσιών, μέσα από την εφαρμογή κανόνων επιχειρησιακού ανασχεδιασμού.<br />
Είναι προφανές ότι ο ΕΡΜΗΣ δεν θα πρέπει να στοχεύσει σε μία εφήμερη και “φωτογραφική” διασύνδεση<br />
των υφιστάμενων συστημάτων αλλά να παρέχει τους απαραίτητους μηχανισμούς ώστε οι<br />
επιμέρους φορείς να σχεδιάζουν, υλοποιούν και να εισάγουν νέες υπηρεσίες παρέχοντας καλά ορισμένα<br />
και συμβατά σημεία διεπαφής (well defined interfaces) με την γενική αρχιτεκτονική της<br />
κεντρικής πύλης του ΕΡΜΗ. Η διαλειτουργικότητα των συστημάτων θα πρέπει να διασφαλίζεται:<br />
• Οργανωτικά. Η επιχειρησιακή διαλειτουργικότητα μπορεί να επιτευχθεί μόνο με ριζικό επανασχεδιασμό<br />
των διαδικασιών και αναδιοργάνωση των δομών της δημόσιας διοίκησης. Ο ΕΡ-<br />
ΜΗΣ μπορεί να βοηθήσει τους business analysts παρέχοντας εργαλεία σύνθετης αναζήτησης<br />
(π.χ. web services που παρέχονται από συγκεκριμένο φορέα) και εντοπισμού των πιθανών σημείων<br />
όπου οι χειρωνακτικές διαδικασίες μπορούν να ηλεκτρονικοποιηθούν.<br />
• Σημασιολογικά. Ο ΕΡΜΗΣ παρέχει πλήρεις μηχανισμούς επέκτασης των υπαρχόντων και δημιουργίας<br />
νέων σημασιολογικών λεξιλογίων ώστε να διασφαλίζεται ότι τα δεδομένα που αποστέλλονται<br />
έχουν την ίδια ερμηνεία τόσο για τον αποστολέα όσο και για τον παραλήπτη.<br />
• Τεχνολογικά, με την υιοθέτηση κοινών και ανοικτών τεχνολογικών υποδομών και προτύπων.<br />
Άξονας Γ’<br />
Στόχος είναι η δημιουργία υποδομής Ψηφιακής Αυθεντικοποίησης Πολιτών/Επιχειρήσεων η οποία<br />
θα καλύπτει το σύνολο των απαιτήσεων του έργου, και η οποία θα λειτουργήσει κάτω από το γενικό<br />
πλαίσιο που θα οριστεί από το έργο «Ελληνικό Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής<br />
Διακυβέρνησης και Πρότυπα Διαλειτουργικότητας». Ο Ανάδοχος πρέπει να περιγράψει τις υπηρεσίες<br />
που θα υποστηρίζονται για μια ολοκληρωμένη υποδομή δημοσίου κλειδιού (ΡΚΙ) και δεν πρέπει<br />
να περιορισθεί μόνο στις υπηρεσίες Αυθεντικοποίησης, δεδομένου ότι η αλληλεπίδραση-συναλλαγή<br />
με τους πολίτες/επιχειρήσεις θα καταστήσει αναγκαία την παροχή και άλλων υπηρεσιών<br />
(πχ. χρονοσφραγίδες, διαχείριση τεκμηρίων κλπ ).<br />
Πιο συγκεκριμένα, προδιαγράφονται οι εξής τύποι πιστοποιητικών:<br />
• Κατηγορία Α: Ψηφιακό Πιστοποιητικό Κρυπτογράφησης. Το πιστοποιητικό αυτό προορίζεται<br />
για χρήση σε εφαρμογές κρυπτογράφησης και δοκιμές (tests).<br />
• Κατηγορία Β: Ψηφιακό πιστοποιητικό Αυθεντικοποίησης. Χρησιμοποιείται για την επιβεβαίωση<br />
της ταυτότητας του χρήστη κατά την ηλεκτρονική πρόσβαση του σε ελεγχόμενα σημεία<br />
(client authentication).<br />
• Κατηγορία Γ: Ψηφιακό πιστοποιητικό Υπογραφής. Προορίζεται για εφαρμογές ψηφιακής υπογραφής<br />
ηλεκτρονικών εγγράφων.<br />
Οι χρήστες τους συστήματος είναι οι εξής:<br />
• Εξωτερικοί Χρήστες<br />
Ως εξωτερικοί ορίζονται οι ιδιώτες χρήστες, οι οποίοι θα μπορούν να είναι από το ευρύ κοινό,<br />
πολίτες, επιχειρήσεις. Όλοι θα είναι αποδέκτες των υπηρεσιών του Ερμή, αλλά παράλληλα θα<br />
μπορούν να συνεισφέρουν και αυτοί στην προσθήκη περιεχομένου της Πύλης με την έννοια<br />
της συμμετοχής τους στα εργαλεία ανταλλαγής απόψεων (ομάδες συζήτησης, σφυγμομετρήσεις).<br />
Δηλαδή, οι εξωτερικοί χρήστες θα μπορούν να είναι εξουσιοδοτημένοι και μη.<br />
• Εσωτερικοί Χρήστες<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
188
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ως εσωτερικοί ορίζονται οι χρήστες οι οποίοι ανήκουν στο δυναμικό του Ερμή (ΥΠΕΣ), στελέχη<br />
των συνεργαζόμενων με την Ερμή φορέων, καθώς και στελέχη του Δημοσίου Τομέα γενικότερα.<br />
Οι εσωτερικοί χρήστες θα είναι πάντα αυστηρά πιστοποιημένοι (certified users). Κατηγορίες<br />
εσωτερικών χρηστών σχετικές με τη διαχείριση περιεχομένου είναι οι ακόλουθες:<br />
o<br />
o<br />
Στελέχη των συνεργαζόμενων με τον Ερμή Δημόσιων Φορέων (χρήστες Υπάλληλοι Δημοσίων<br />
Υπηρεσιών). Οι χρήστες αυτοί θα εκτελούν συγκεκριμένες εργασίες για την επικαιροποίηση<br />
του περιεχομένου της Διαδικτυακής Πύλης του Ερμή. Με βάση την εργασία που θα<br />
εκτελούν στον Ερμή θα έχουν διακριτούς ρόλους στο σύστημα. Οι χρήστες αυτοί θα είναι<br />
και αποδέκτες των υπηρεσιών του Ερμή, με την έννοια ότι θα μπορούν να πλοηγηθούν στο<br />
portal ή να εκτελέσουν μια συναλλαγή όπως και οι ιδιώτες χρήστες. Επίσης, θα έχουν πρόσβαση<br />
σε ειδική περιοχή του Ερμή μέσω του Σύζευξις (extranet), στην οποία θα υπάρχουν<br />
εργαλεία forums, σφυγμομετρήσεων, ανακοινώσεων.<br />
Εποπτικοί Διαχειριστές, οι οποίοι θα έχουν πρόσβαση στη Μονάδα Διοικητικής Υποστηριξης<br />
του Ερμή, θα παρακολουθούν στατιστικά και αναφορές σχετικά με τη λειτουργία του<br />
Συστήματος, θα δημιουργούν ιδιοποιημένες σελίδες με πίνακες και αναφορές, και θα λαμβάνουν<br />
σχετικές αποφάσεις. Σε διαχειριστικό επίπεδο, θα αναλαμβάνουν και την επικοινωνία<br />
με τους υπευθύνους των συνεργαζόμενων με την Ερμή Φορέων για τον καθορισμό νέων<br />
απαιτήσεων και προδιαγραφών.<br />
Για τους άξονες Α’ και Β’ ορίζονται οι παρακάτω κατηγορίες χρηστών:<br />
• Δημόσιοι (Public Users): Σε αυτή την κατηγορία ανήκουν όλοι οι χρήστες που έχουν πρόσβαση<br />
στη λειτουργικότητα του ληξιαρχείου που προσφέρεται δημόσια μέσω του υποσυστήματος δημοσίευσης<br />
περιεχομένου του άξονα Α. Ενδεικτικοί δημόσιοι χρήστες είναι οι απλοί πολίτες<br />
(που ενδιαφέρονται να ενημερωθούν για τις παρεχόμενες ηλεκτρονικές υπηρεσίες) ή επιχειρήσεις<br />
(που αναζητούν τα διαθέσιμα Web Services που αφορούν υπηρεσίες συγκεκριμένου τύπου).<br />
• Εγγεγραμμένοι (Registered Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι ονομαστικοί χρήστες<br />
της πύλης (που μέσα από τη διαδικασία του self registration έχουν αποκτήσει μοναδικό αναγνωριστικό<br />
και συνθηματικό εισόδου). Οι εγγεγραμμένοι χρήστες έχουν αυξημένα δικαιώματα<br />
πρόσβασης σε ειδικές περιοχές του ληξιαρχείου (π.χ. εκτέλεση αναφορών, συνδυαστική αναζήτηση<br />
υπηρεσιών ή εγγράφων από τη βάση γνώσης του ληξιαρχείου).<br />
• Αυστηρά πιστοποιημένοι (Certified Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι χρήστες που<br />
έχουν αυθεντικοποιηθεί με τη χρήση ψηφιακών πιστοποιητικών (software ή hardware) για τη<br />
χρήση των εσωτερικών μηχανισμών διαχείρισης των υποσυστημάτων (προσθήκη νέων υπηρεσιών,<br />
εγγράφων, Web Services, δημιουργία και εκτέλεση αναφορών κλπ). Στην ουσία είναι ό-<br />
λοι οι εσωτερικοί χρήστες και οι διαχειριστές υπηρεσιών και υποδομών του συστήματος.<br />
Ενώ για τον άξονας Γ’ ορίζονται οι παρακάτω κατηγορίες χρηστών:<br />
• Μεριδιούχοι-Κάτοχοι Κλειδιών Θυρίδας Χρηματοκιβωτίου (Share Holders): είναι οι κάτοχοι<br />
των απόρρητων μεριδίων που είναι αναγκαία για την πρόσβαση στις Ασφαλείς Κρυπτογραφικές<br />
Μονάδες (ΑΚΜ) όπου φυλάσσονται οι Αρχές Πιστοποίησης. Για τον λόγο αυτό είναι κάτοχοι<br />
φυσικών ηλεκτρονικών κλειδιών πρόσβασης στις ΑΚΜ που αντιστοιχούν σε θυρίδα επιλεγμένης<br />
τράπεζας από το ΥΠΕΣ.<br />
• Κάτοχοι Κοινού Κλειδιού θυρίδων (Common Key Holders): είναι οι κάτοχοι του φυσικών<br />
κλειδιών των θυρίδων στις τράπεζες. Στις θυρίδες αυτές βρίσκονται οι ΑΚΜ και τα ηλεκτρονικά<br />
κλειδιά των μεριδιούχων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
189
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Κάτοχοι Κλειδιού Χώρου Φύλαξης Online AKΜ Υπογραφής (Tier 3 Online Key Holders): είναι<br />
οι κάτοχοι του φυσικού κλειδιού για την πρόσβαση στον χώρο όπου βρίσκονται φυλαγμενες<br />
οι online ΑΚΜ.<br />
• Διαχειριστής Ασφάλειας (<strong>Security</strong> Manager): είναι υπεύθυνος για την συνολική ασφάλεια του<br />
Κέντρου Πιστοποίησης, και κάτοχος του Κοινού Κλειδιού.<br />
• Διαχειριστής Κλειδιών (Key Manager): είναι υπεύθυνος για την διαχείριση και την συνολική<br />
ασφάλεια του κρυπτογραφικού υλικού, και κάτοχος θυρίδας στο χρηματοκιβώτιο στην οποία<br />
φυλάσσονται τα αντίγραφα ασφαλείας του κρυπτογραφικού υλικού.<br />
• Διαχειριστές Συστημάτων (System Administrators): είναι υπεύθυνοι για την εύρυθμη λειτουργία<br />
της υλικοτεχνικής υποδομής του Κέντρου Πιστοποίησης. Δεν έχουν στην κατοχή τους ούτε<br />
απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν πρόσβαση σε κανέναν από τους χώρους<br />
όπου βρίσκεται το κρυπτογραφικό υλικό. Οι διαχειριστές των συστημάτων χωρίζονται σε τρείς<br />
κατηγορίες:<br />
• Πλήρους πρόσβασης: Είναι οι χρήστες οι οποίοι έχουν πλήρη πρόσβαση στα συστήματα και<br />
μπορούν να κάνουν τις πιο σοβαρές αλλαγές. Οι χρήστες αυτοί μπορούν να πραγματοποιήσουν<br />
αλλαγές τόσο σε επίπεδο λειτουργικού όσο και σε επίπεδο εφαρμογών. Κάθε φορά που πραγματοποιούν<br />
μια αλλαγή στο σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για<br />
μελλοντικούς ελέγχους. Επίσης οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι<br />
για τις αναβαθμίσεις και συντηρήσεις του συστήματος.<br />
• Μερικής πρόσβασης υπηρεσιών web: Είναι οι χρήστες οι οποίοι μπορούν να πραγματοποιήσουν<br />
αλλαγές σε επίπεδο υπηρεσιών web. Κάθε φορά που πραγματοποιούν μια αλλαγή στο σύστημα<br />
θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης<br />
οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντηρήσεις<br />
του συστήματος.<br />
• Μερικής Πρόσβασης υπηρεσιών εφημεριών: Είναι οι χρήστες οι οποίοι μπορούν να πραγματοποιήσουν<br />
αλλαγές σε επίπεδο εφαρμογών. Κάθε φορά που πραγματοποιούν μια αλλαγή στο<br />
σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης<br />
οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντηρήσεις<br />
του συστήματος.<br />
• Εξειδικευμένοι Μηχανικοί Υποστήριξης του ΥΠΕΣ (PSE): είναι υπεύθυνοι για την παροχή ε-<br />
ξειδικευμένων υπηρεσιών που σχετίζονται με τις λειτουργίες/υπηρεσίες του Κέντρου Πιστοποίησης.<br />
Δεν έχουν στην κατοχή τους ούτε απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν<br />
πρόσβαση σε κανέναν από τους χώρους όπου βρίσκεται το κρυπτογραφικό υλικό.<br />
• Υπάλληλοι υποστήριξης χρηστών (Customer Support): Είναι υπεύθυνοι για την ομαλή λειτουργία<br />
όλου του κύκλου ζωής των ψηφιακών πιστοποιητικών καθώς και για την υποστήριξη των<br />
τελικών χρηστών. Το customer support αποτελεί τις αρχές εγγραφής οι οποίες έχουν πρόσβαση<br />
στη κονσόλα διαχείρισης των ψηφιακών πιστοποιητικών. Οι χρήστες αυτοί θεωρητικοποιούνται<br />
στο σύστημα με χρήση ψηφιακού πιστοποιητικού το οποίο έχει εγκριθεί από τον τους<br />
ESA (Enterprise Service Administrators). Ο κάθε χρήστης έχει δυνατότητα έγκρισης των<br />
αιτήσεων των χρηστών για ψηφιακό πιστοποιητικό οι οποίες του έχουν ανατεθεί από τα εντεταλμένα<br />
γραφεία.<br />
• Υπάλληλοι ταυτοποίησης χρηστών: Είναι υπεύθυνοι για την επιβεβαίωση της ταυτότητας των<br />
χρηστών. Οι χρήστες αυτοί αποτελούν τα εντεταλμένα γραφεία τα οποία προωθούν τις αιτήσεις<br />
προς τις αρχές εγγραφής προς έγκριση. Τα εντεταλμένα γραφεία έχουν πρόσβαση στο MPKI<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
190
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
και αφού ελέγξουν ότι τα στοιχεία είναι σωστά, αναθέτουν την έγκριση του πιστοποιητικού<br />
στις αρχές εγγραφής.<br />
5.4.8.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Ηλεκτρονικές συναλλαγές που πρόκειται να ενσωματωθούν στη πύλη του ΕΡΜΗ:<br />
• ΕΛΓΑ: Αίτηση αποζημίωσης στον ΕΛΓΑ.<br />
• Εθνικό Τυπογραφείο: Αίτηση για αγορά ΦΕΚ.<br />
• Ελληνική Αστυνομία: Δήλωση στην Αστυνομία (συμβάντος κλοπής, εξαφάνισης)<br />
• Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Υποβολή αίτησης για χορήγηση<br />
λίστας άρθρου 13, Υποβολή προσφυγής – καταγγελίας.<br />
• Πρωτοδικεία Αθηνών, Θεσσαλονίκης, Πειραιώς: Ηλεκτρονική κατάθεση δικογράφων–αιτησεων,<br />
Παρακολούθηση πορείας αιτήσεων.<br />
• Ειδικό Ληξιαρχείο Αθηνών: Υποβολή αίτησης ληξιαρχικών πράξεων (μέσω των ΚΕΠ).<br />
• ΙΚΑ: Χορήγηση ασφαλιστικής ενημερότητας σε εργοδότες και επιχειρήσεις.<br />
• Εθνικό Δημοτολόγιο: Χορήγηση Αντιγράφου Πιστοποιητικού Γέννησης (απευθείας σε ΟΤΑ ή<br />
μέσω ΚΕΠ).<br />
• Πρωτοδικείο/Τμήμα Ποινικού Μητρώου: Χορήγηση Αντιγράφου Ποινικού Μητρώου (μέσω<br />
ΚΕΠ).<br />
• Στρατολογία: Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης.<br />
• ΟΑΕΔ: Υπηρεσία Εύρεσης Εργασίας.<br />
• Ελληνική Αστυνομία: Πληρωμή Προστίμων Τροχαίας.<br />
5.4.8.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Από την α-<br />
ποτίµηση προκύπτουν σχετικά υψηλές απαιτήσεις προστασίας της ακεραιότητας (integrity), της ε-<br />
μπιστευτικότητας (confidentiality) και της διαθεσιμότητας (availability) των δεδοµένων που διαχειρίζεται<br />
το Υποσύστημα Ψηφιακής Πιστοποίησης Πολιτών/Επιχειρήσεων, και ιδιαίτερα των δεδομένων<br />
που αφορούν στη δημιουργία και επεξεργασία του ιδιωτικού κλειδιού της Αρχής Πιστοποίησης<br />
της ΕΠΕ και του σταθμού εργασίας Key Ceremony στον οποίο κρατούνται. Υψηλές απαιτησεις<br />
προκύπτουν επίσης για την προστασία της ακεραιότητας των δεδοµένων του Υποσυστηματος<br />
Εγγραφής και Εξουσιοδότησης Χρηστών, καθώς και για τη διατήρηση της ακεραιότητας όσων<br />
προσωπικών δεδομένων των χρηστών τηρεί το Σύστημα.<br />
Όσον αφορά στις δυνητικές απειλές που αντιµετωπίζουν η Πύλη και οι συναφείς εγκαταστάσεις, ε-<br />
κείνες οι οποίες παρουσιάζουν τη µεγαλύτερη πιθανότητα εµφάνισης ή το μαγαλύτερο βαθμό επικινδυνότητας<br />
(μέγιστος βαθμός επικινδυνότητας 6/7) είναι οι εξής:<br />
• Πλαστοπροσωπία από Εσωτερικούς Χρήστες<br />
• Πλαστοπροσωπία από Εξωτερικούς Χρήστες<br />
• Εισαγωγή Κακόβουλου κώδικα<br />
• Αστοχία Λογισμικού Συστήματος και Λογισμικού Δικτύου<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
191
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Σφάλμα Συντήρησης Υλικού<br />
• Σφάλμα Συντήρησης Λογισμικού<br />
• Αστοχία Λογισμικού Εφαρμογών<br />
• Λάθος του Χρήστη<br />
• Διακοπή Ηλεκτροδότησης<br />
• Μη εξουσιοδοτημένη χρήσης εφαρμογής<br />
• Εισαγωγή Ιομορφικού Λογισμικού<br />
• Αποτυχία/Παρεμπόδιση Επικοινωνιών<br />
• Λάθος Χειρισμού<br />
• Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εντός του φορέα λειτουργίας)<br />
• Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εκτός του φορέα λειτουργίας)<br />
• Ηθελημένη πρόκληση βλάβης - βανδαλισμός (από άτομα εντός του φορέα λειτουργίας)<br />
Προϋπόθεση επιτυχούς εκδήλωσης των προαναφερόµενων απειλών αποτελεί η ύπαρξη αντίστοιχων<br />
αδυναµιών - σηµείων ευπάθειας. Στις αδυναµίες που εντοπίστηκαν, µεταξύ άλλων, περιλαµβάνονται<br />
οι εξής:<br />
• Η Πύλη ΕΡΜΗΣ διαχειρίζεται προσωπικά ή ευαίσθητα και οικονομικά δεδομένα χρηστών.<br />
• Η Πύλη ΕΡΜΗΣ εξυπηρετεί ένα σύνολο από υπηρεσίες που είναι κρίσιμες για τη δημόσια<br />
διοίκηση.<br />
• Απουσία οργανωτικο-διοικητικού σχήματος και ειδικότερα οργανωτικού σχήματος διαχείρισης<br />
της ασφάλειας.<br />
• Διασύνδεση με ποικίλα συστήματα δημοσίων φορέων (τα οποία στη διάρκεια της μελέτης δεν<br />
ήταν γνωστά).<br />
• Φόρτος εργασίας προσωπικού.<br />
Ως σημαντικότερα από τα προτεινόμενα αντίμετρα θεωρούνται η ανάθεση του ρόλου του Υπεύθυνου<br />
Ασφάλειας ΠΣ σε στέλεχος με τα κατάλληλα προσόντα, η υιοθέτηση Πολιτικής Ασφάλειας,<br />
η διαμόρφωση κατάλληλου χώρου στέγασης των βασικών υπολογιστικών συστημάτων και η κατάλληλη<br />
εκπαίδευση – κατάρτιση του προσωπικού.<br />
Πιο συγκεκριμένα, συνιστάται να δοθεί άμεση προτεραιότητα στην υλοποίηση του οργανωτικού<br />
σχήματος και κυρίως στην ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας ΠΣ. Ο Υπεύθυνος Α-<br />
σφάλειας θα αναλάβει άμεσα την ευθύνη της παρακολούθησης της υλοποίησης του Σχεδίου Ασφάλειας.<br />
Στα μέτρα για τα οποία απαιτείται επίσης άμεση ενέργεια περιλαμβάνεται η υιοθέτηση Πολιτικής<br />
Ασφάλειας ΠΣ από τη Διοίκηση του φορέα λειτουργίας και διαχείρισης της ΕΠΕ. Ιδιαίτερα<br />
σημαντική είναι η διαμόρφωση κατάλληλου χώρου φιλοξενίας εξυπηρετητών (computer room) για<br />
τις βασικές εφαρμογές του ΕΡΜΗ και ειδικότερα για τον Key Ceremony σταθμό εργασίας που φιλοξενεί<br />
τη δημιουργία/αποθήκευση του ιδιωτικού κλειδιού της Αρχής Πιστοποίησης ΕΡΜΗΣ (CA).<br />
Στα κυριότερα διοικητικά-οργανωτικά μέτρα περιλαμβάνονται, επίσης, η εκπόνηση και εφαρμογή<br />
προγράμματος εκπαίδευσης και ενημέρωσης σε ζητήματα χρήσης των ΠΣ για το προσωπικό του<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
192
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
φορέα λειτουργίας της ΕΠΕ καθώς και η ενίσχυση της τεχνογνωσίας του προσωπικού του Τμήματος<br />
Πληροφορικής του φορέα λειτουργίας και διαχείρισης της ΕΠΕ σε εξειδικευμένα ζητήματα<br />
διαχείρισης της ασφάλειας των ΠΣ.<br />
Απαιτείται επίσης η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit).<br />
Όλα αυτά τα μέτρα είναι εξαιρετικής σπουδαιότητας για την ολοκληρωμένη διασφάλιση της<br />
ΕΠΕ.<br />
Ιδιαίτερη προσοχή θα πρέπει επίσης να δοθεί στη διασφάλιση της συνέχισης λειτουργίας και την<br />
αντιμετώπιση έκτακτων περιστατικών και ιδιαίτερα στη λήψη και διαχείριση των εφεδρικών αντιγράφων<br />
δεδομένων. Επιπλέον, η ενίσχυση της ασφάλειας απαιτεί τη χρήση εξοπλισμού, όπως συστηματα<br />
διαχείρισης δικτύων, ανανέωση των λειτουργικών συστημάτων κλπ.<br />
Ο σχεδιασμός του DRP έγινε με βάση τη γενική στρατηγική κατά την οποία επιλέχθηκε το Cold<br />
Site για Disaster Recovery. Η επιλογή της συγκεκριμένης στρατηγικής ανάκαμψης αφορά Διοικητική<br />
επιλογή λόγω χαμηλού οικονομικού προϋπολογισμού ανάκαμψης.<br />
Σύμφωνα με το NIST (National Institute of Standards and Technology), η στρατηγική Cold Site α-<br />
φορά τη δυνατότητα ανάκαμψης ενός πληροφοριακού συστήματος σε έναν εφεδρικό χώρο, ο<br />
οποίος διαθέτει μόνο ηλεκτρισμό και φυσικές εγκαταστάσεις αλλά κανένα στοιχείο πληροφοριακού<br />
εξοπλισμού μέχρι τη στιγμή του καταστροφικού γεγονότος. Ο χώρος είναι ανενεργός αλλά έ-<br />
τοιμος να δεχτεί τον εξοπλισμό του πληροφοριακού συστήματος που πρόκειται να ανακάμψει. Ο<br />
όρος «έτοιμος» αφορά στη φυσική διάθεση του χώρου ώστε να είναι άδειος και καθαρός.<br />
Ο χώρος που έχει επιλεγεί ως Cold site είναι οι εγκαταστάσεις της εταιρείας INFOQUEST AE. Το<br />
σύστημα ανάκαμψης καταστροφών (δευτερεύον σύστημα) αποτελεί μια μικρότερη έκδοση του<br />
πρωτεύοντος συστήματος και η αρχιτεκτονική του φαίνεται στο Σχήμα 32. Ο ιδιοκτήτης του ΠΣ<br />
της ΕΠΕ πρέπει να διατηρεί σε off-site χώρο ενημερωμένα και αξιοποιήσιμα αντίγραφα ασφαλείας<br />
για το χρησιμοποιούμενο λογισμικό και τα δεδομένα που αποθηκεύονται στις εφαρμογές του. Επίσης,<br />
στην ευθύνη του ανήκει και η σύνδεση του Cold site με το Σύζευξις. Η διαδικασία της ανακαμψης<br />
πρόκειται να γίνει από την Ομάδα Ανάκαμψης η οποία αποτελεί προσωπικό της εταιρείας<br />
INFOQUEST AE μετά την επίσημη ενεργοποίηση του SLA. Η ευθύνη για τη διαδικασία ανάκαμψης<br />
ανήκει στην εταιρεία INFOQUEST ΑΕ μέχρι το πέρας του έργου.<br />
Εκτός από τη μελέτη που περιγράφηκε, υπάρχει και ένα μεταγενέστερο έγγραφο «Σχέδιο Ασφάλειας<br />
Εθνικής Πύλης ΕΡΜΗΣ» (΄Εκδοση v0.5), το οποίο έχει επίσης υλοποιηθεί για λογαριασμό του αναδόχου<br />
και περιλαμβάνει Πολιτικές και Μέτρα Ασφαλείας. Η InfoQuest χρησιμοποίησε για τη δημιουργία<br />
Πολιτικών Ασφάλειας τα διεθνή πρότυπα NIST 800-18, ISO/IEC 17799 και ISO/IEC 27001,<br />
αλλά δεν αναφέρεται κάποια συγκεκριμένη μεθοδολογία. Το έντυπο αυτό περιλαμβάνει:<br />
• Πολιτική Ασφάλειας υψηλού επιπέδου, η οποία διασαφηνίζει τη στρατηγική της διοίκησης του<br />
ΥΠΕΣ και τις αρχές που ακολουθούνται όσον αφορά στην ασφάλεια των πληροφοριών.<br />
• Συγκεκριμένες Πολιτικές Ασφάλειας, οι οποίες παρουσιάζουν το πλαίσιο των ενδεδειγμένων μέτρων<br />
ασφάλειας που αφορούν συγκεκριμένους τομείς του πληροφοριακού συστήματος. Συγκεκριμένες<br />
Πολιτικές Ασφάλειας είναι:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
193
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
1. Πολιτική Επικοινωνιών και Δικτύου<br />
2. Πολιτική Αποδεκτής χρήσης Συστημάτων Πληροφορικής<br />
3. Πολιτική Κρυπτογράφησης<br />
4. Πολιτική Διαχείρισης Περιστατικού Ασφάλειας Πληροφοριών<br />
5. Πολιτική παρακολούθησης Ασφάλειας Πληροφοριακών Συστημάτων<br />
6. Πολιτική ασφάλειας Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου<br />
7. Πολιτική Φυσικής Ασφάλειας<br />
8. Πολιτική Προστασίας από Κακόβουλο Λογισμικό<br />
9. Πολιτική Συνδεσιμότητας και Ανάθεσης Εργασιών σε Συνεργάτη<br />
10. Πολιτική Διαχείρισης Χρηστών<br />
• Πρότυπα, Διαδικασίες και Οδηγίες Ασφάλειας. Ένα Πρότυπο Ασφάλειας παρέχει οδηγίες με<br />
σκοπό την επίτευξη συγκεκριμένων πολιτικών, που συχνά συσχετίζονται με συγκεκριμένες τεχνολογικές<br />
προσεγγίσεις ή και προϊόντα. Οι διαδικασίες περιγράφουν τα βήματα που πρέπει να<br />
ακολουθηθούν με στόχο την διασφάλιση μιας εντεταλμένης λειτουργίας ή υπηρεσίας. Οι οδηγίες<br />
αποτελούν συμβουλευτική καθοδήγηση προς τα μέλη ενός πληροφοριακού συστήματος και βασίζονται<br />
στις βέλτιστες πρακτικές της Ασφάλειας των Πληροφοριών. Τα Πρότυπα, Διαδικασίες και<br />
Οδηγίες Ασφάλειας είναι:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
194
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
1. Πρότυπο Επικοινωνιών και Δικτύου<br />
2. Αρχιτεκτονική Ασφάλειας (Πρότυπο ΠΑ-03)<br />
3. Ασφάλεια Διαδικτύου και Ασφαλής Απομακρυσμένη πρόσβαση (Πρότυπο ΠΑ-08)<br />
4. Έλεγχος Προσπέλασης, Λειτουργίας και Διαχείριση (Πρότυπο ΠΑ-03)<br />
5. Ασφάλεια Βάσεων Δεδομένων (Πρότυπο ΠΑ-03)<br />
6. Back-End Servers Hardening (Πρότυπο ΠΑ-03)<br />
7. Front-End Servers Hardening (Πρότυπο ΠΑ-03)<br />
8. Ασφάλεια Τερματικών Σταθμών (Πρότυπο ΠΑ-03)<br />
9. Οδηγία - Computer Systems <strong>Security</strong> Violation Incident Reporting (ΠΑ-6)<br />
10. Διαδικασία - Incident Reporting (ΠΑ-6)<br />
Στην παρούσα φάση, δεν είχε διευκρινιστεί ποια από τις δύο μελέτες είχε ισχύ και ποια υιοθετήθηκε.<br />
5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση<br />
Υδάτινων Πόρων<br />
5.4.9.1 Στοιχεία ταυτότητας έργου<br />
Οι στόχοι του έργου «Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση<br />
Υδάτινων Πόρων» είναι η δημιουργία υποδομής για παροχή υπηρεσιών προς το πολίτη και τις επιχειρήσεις<br />
και ειδικότερα:<br />
• Ενημέρωση των ενδιαφερομένων για θέματα σχετικά με τα δάση και τη διαχείριση των υδάτινων<br />
πόρων.<br />
• Παροχή διαδραστικών λειτουργιών όπως αιτήσεις, πληρωμές κλπ. και γενικότερα διεκπεραίωση<br />
συναλλαγών μέσω της πύλης.<br />
• Παροχή των υπηρεσιών μέσω κοινών σημείων εξυπηρέτησης και υποβοήθησης των ενδιαφερομένων.<br />
• Προβολή στο ευρύ κοινό των δυνατοτήτων που παρέχονται από τη λειτουργία της πύλης.<br />
Επίσης, στοχεύει στον εκσυγχρονισμό των αρμοδίων διευθύνσεων των περιφερειών. Στο πλαίσιο του<br />
εν λόγω εκσυγχρονισμού προβλέπονται:<br />
• Χρήση των λειτουργιών της πύλης από το προσωπικό των διευθύνσεων των περιφερειών.<br />
• Ενημέρωση του περιεχομένου της διαδικτυακής πύλης με τη λειτουργία εφαρμογής διαχείρισης<br />
περιεχομένου (CMS).<br />
• Ψηφιοποίηση δεδομένων των περιφερειών μέσω εφαρμογής διαχείρισης περιεχομένου. (CMS).<br />
• Βελτίωση του χρόνου και της ποιότητας εξυπηρέτησης των ενδιαφερομένων από τις αρμόδιες διευθύνσεις<br />
των περιφερειών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
195
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φορέας έργου: ΥΠΕΣ<br />
Ανάδοχος:<br />
Ένωση OTS - KOSMOS<br />
ΣΤΥ: -<br />
Μελετητής Ασφάλειας: Οι απαιτήσεις ασφάλειας θα καθοριστούν από τον ανάδοχο του έργου.<br />
Προϋπολογισμός έργου: 1.679.600,00 €<br />
Διάρκεια έργου: 18 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο στις εγκαταστάσεις της ALTEC, υπό ανάπτυξη<br />
Data Center: Ενδέχεται να μεταφερθεί σε κάποιο Data Center στο τέλος του 2008<br />
Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων<br />
5.4.10 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Στο Σχήμα 333 απεικονίζεται η αρχιτεκτονική Σχεδίαση του έργου:<br />
Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή:<br />
Μελέτη Εφαρμογής Αναδόχου)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
196
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.10.1 Παρεχόμενες υπηρεσίες<br />
Η διαδικτυακή Πύλη θα έχει τις εξής κατηγορίες χρηστών:<br />
• «Εσωτερικοί» χρήστες, που είναι το Προσωπικό της Περιφέρειας. Οι χρήστες αυτοί θα έχουν<br />
πρόσβαση μέσω του Δικτύου ΣΥΖΕΥΞΙΣ με ειδική εξουσιοδοτημένη πρόσβαση. Θα ληφθεί επίσης<br />
υπόψη η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση των υ-<br />
παλλήλων των περιφερειών στο σύστημα.<br />
• «Εξωτερικοί» χρήστες (πολίτες και επιχειρήσεις που θα το επισκέπτονται μέσω Internet).<br />
Το έργο αυτό παρέχει τις εξής Υπηρεσίες Πληροφόρησης:<br />
• Πληροφορίες για τις Περιφέρειες (οργανωτική δομή, στόχοι, έργα, τοποθεσία, επικοινωνία κλπ).<br />
• Πληροφορίες για Δάση και διαχείριση υδάτινων πόρων (τοποθεσίες, βλάστηση, πρόσβαση κλπ).<br />
• Πληροφορίες για τον καιρό.<br />
• Πληροφορίες για την Οικονομική Ανάπτυξη, εκμετάλλευση κλπ.<br />
• Πληροφορίες για την συνεργασία με άλλους Φορείς.<br />
• Δελτία Τύπου, ανακοινώσεις, Συνέδρια, Ημερίδες, Εκδηλώσεις κλπ.<br />
• Στατιστικές πληροφορίες.<br />
• Πληροφορίες για τα δικαιώματα και τις υποχρεώσεις του πολίτη.<br />
• Σύνδεση με τις πύλες της Κυβέρνησης και με άλλους διαδικτυακούς τόπους.<br />
• Σύνδεση με ευρωπαϊκούς και διεθνείς διαδικτυακούς τόπους με πληροφορίες σε θέματα σχετικά<br />
με τα Δάση και την διαχείριση υδάτινων πόρων.<br />
• Δημοσίευση Αποφάσεων σχετικών με το αντικείμενο που ειδικεύεται η πύλη.<br />
• Καταγραφή παραπόνων και καταγγελιών.<br />
• Καταχώρηση επαγγελματιών.<br />
• Καταχώριση υπηρεσιών.<br />
Οι αλληλεπιδραστικές υπηρεσίες οι οποίες περιλαμβάνουν:<br />
• Σύνθετη αναζήτηση σχετικά με τα Δάση και την διαχείριση υδάτινων πόρων.<br />
• Καταγραφή παραπόνων και καταγγελιών του κοινού, και προτεινόμενοι τρόποι επίλυσης τους.<br />
Επίσης η υπηρεσία αυτή θα περιλαμβάνει και δομημένη μέθοδο απάντησης στο χρήστη.<br />
• Αναζήτηση δελτίων τύπου και δημοσιευμάτων<br />
• Αναζήτηση πληροφοριών σχετικά με πορεία αιτήσεων και αιτημάτων<br />
• Αναζήτηση επαγγελματιών της περιοχής<br />
• Αναζήτησης δημόσιων υπηρεσιών και φορέων του ευρύτερου δημόσιου τομέα της περιοχής<br />
• Αναζήτησης πληροφοριών σχετικά με Μέσα Μεταφοράς της περιοχής<br />
• Ηλεκτρονική Δημοσκόπηση Πολιτών<br />
Μεταξύ των ηλεκτρονικών συναλλαγών που θα παρέχονται μέσω της Πύλης είναι:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
197
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ηλεκτρονικές Αιτήσεις για εκμετάλλευση Δασών και Υδάτινων πόρων.<br />
• Πληρωμή χρεών.<br />
• Αιτήματα και Καταγγελίες Πολιτών<br />
• Ηλεκτρονικές Αιτήσεις για Βεβαιώσεις.<br />
5.4.10.2 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ<br />
Η συσχέτιση με το έργο «Σύζευξις» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέων<br />
με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου, ενώ ενδέχεται να<br />
χρησιμοποιηθεί η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση<br />
των υπαλλήλων των περιφερειών στο σύστημα.<br />
• Εθνική Πύλη ΕΡΜΗΣ<br />
Δεν έχει οριστικοποιηθεί η διασύνδεση αλλά προβλέπεται η προβολή του μέσω του ΕΡΜΗ.<br />
• Κέντρα Εξυπηρέτησης Πολιτών<br />
Μπορούν να εξυπηρετηθούν από τα ΚΕΠ οι υπηρεσίες που ήδη προσφέρονται ηλεκτρονικά.<br />
5.4.10.3 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Δεν ήταν διαθέσιμη στην παρούσα φάση. Δεν προβλέπεται Σύμβουλος Τεχνικός Υποστήριξης, ενώ οι<br />
απαιτήσεις και τα μέτρα ασφάλειας πρέπει να καθοριστούν από τον Ανάδοχο του έργου.<br />
5.4.11 Πολεοδομία ΙΙ<br />
5.4.11.1 Στοιχεία ταυτότητας έργου<br />
Σκοπός του έργου «Ηλεκτρονική Πολεοδομία: Πολεοδομική Νομοθεσία και Σύστημα Πολεοδομικών<br />
Πληροφοριών για τον Πολίτη» είναι αφενός να παρέχει στα στελέχη των Πολεοδομικών Υπηρεσιών,<br />
στις Κεντρικές Υπηρεσίες του ΥΠΕΧΩΔΕ και στους πολίτες (ιδιώτες και μηχανικούς), έγκυρη και<br />
γρήγορη πληροφόρηση για το σύνολο της ισχύουσας πολεοδομικής νομοθεσίας και αφετέρου να<br />
συμβάλλει στην καλύτερη εξυπηρέτηση των πολιτών και στην αποτελεσματικότερη λειτουργία της υ-<br />
πηρεσίας με τη δυνατότητα άμεσης (μέσω διαδικτύου) παροχής των πληροφοριών που αφορούν ειδικές<br />
ρυθμίσεις - όρους και περιορισμούς δόμησης και τα ισχύοντα διατάγματα ρυμοτομίας.<br />
Φορέας έργου:<br />
Νομαρχιακές Αυτοδιοικήσεις – Πολεοδομίες (ΥΠΕΧΩΔΕ)<br />
Ανάδοχος:<br />
Ένωση SINGULAR LOGIC INTEGRATOR - UNISYSTEMS<br />
ΣΤΥ:<br />
Cyberstream - PANTEC<br />
Μελετητής Ασφάλειας: Cyberstream - PANTEC<br />
Προϋπολογισμός έργου: 3.170.823,00 €<br />
Διάρκεια έργου:<br />
18 μήνες<br />
Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία<br />
Data Center:<br />
DC2<br />
Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
198
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
5.4.11.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Η αρχιτεκτονική ακολουθεί τα παρακάτω (βλ. Σχήμα 34):<br />
Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
• Πλήρης και ασφαλής διαχωρισμός των επιπέδων του ΟΠΣ ( database, application, web tier) με τη<br />
χρήση Firewalls και με την δημιουργία ζωνών ασφαλείας( Militarized/De-Militarized Zone).<br />
• Χρήση Server Farms και τεχνικών εξισορρόπησης φορτίου - Load Balancing με στόχο την αύξηση<br />
της διαθεσιμότητας, επεκτασιμότητας και απόδοσης των επιπέδων εφαρμογών ( Application-<br />
Tier) και διαδικτύου ( Web-Tier).<br />
• Χρήση τεχνικών και τεχνολογιών Database Clustering<br />
• Χρήση SAN (Storage Area Network) για την φιλοξενία των δεδομένων σε ένα ασφαλές περιβάλλον<br />
χωρίς μοναδικό σημείο αποτυχίας ( No Single Point of Failure), που να μπορεί να υποδεχθεί<br />
τον εκτιμώμενο όγκο δεδομένων του ΟΠΣ καθώς και κάθε απότομη αύξηση αυτού.<br />
• Χρήση τεχνολογιών Backup/Restore για τήρηση εφεδρικών αντιγράφων/αρχειοθέτηση των δεδομενων<br />
σε μαγνητικές ταινίες.<br />
• Χρήση τεχνικών και τεχνολογιών Monitoring/Management για παρακολούθηση και Διαχείριση<br />
του Επιπέδου Παροχής Υπηρεσιών ( Service Level Management/Monitoring) του Πληροφοριακού<br />
Συστήματος από ένα μοναδικό σημείο ( Single Point of Management – Single Point of Operations).<br />
• Χρήση τεχνικών και τεχνολογιών Auditingκαι Logging για πλήρη καταγραφή της πρόσβασης<br />
και δραστηριοτήτων των χρηστών στο Πληροφοριακό Σύστημα<br />
Αφορά:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
199
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• τόσο στη γενική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα και γενικευμένη ισχύ για όλη<br />
την επικράτεια),<br />
• όσον και στην ειδική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα, τοπικά εντοπισμένη, σε<br />
όλα τα επίπεδα της πολεοδομικής γεωαναφοράς-διοικητικής διαίρεσης: Περιφέρεια – Νομός –<br />
Δήμος/Κοινότητα – Οικισμός).<br />
5.4.11.3 Παρεχόμενες υπηρεσίες<br />
Αποτελούνται από (βλ. Σχήμα 35):<br />
(α) τη δημιουργία κεντρικής βάσης δεδομένων γενικής πολεοδομικής νομοθεσίας (ΚΒΓΝ), αντίστοιχου<br />
λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας<br />
έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη.<br />
(β) η δημιουργία βάσης δεδομένων ειδικής πολεοδομικής νομοθεσίας (ΚΒΕΝ), αντίστοιχου λογισμικού<br />
αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας έτσι<br />
ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη.<br />
(γ) η δημιουργία βάσης δεδομένων τοπικών ρυθμίσεων - όρων και περιορισμών δόμησης (GIS),<br />
αντίστοιχου λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της<br />
νέας νομοθεσίας έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη, με πεδίο εφαρμογής<br />
έναν περιορισμένο αριθμό περιοχών (δήμων) στο πλαίσιο της λειτουργίας ενός συγκεκριμενου<br />
αριθμού πιλοτικών Πολεοδομικών Υπηρεσιών. Στο Σχήμα 35 ακολουθεί αποτυπώνονται<br />
οι κατηγορίες χρηστών του πληροφοριακού συστήματος.<br />
Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Οι χρήστες του Πληροφορικού Συστήματος μπορούν να διαχωριστούν στις ακόλουθες γενικές κατηγορίες:<br />
• Διαχειριστές Συστήματος: Είναι οι χειριστές υπεύθυνοι για τη συντήρηση και επίβλεψη του συστήματος<br />
και των λογαριασμών χρηστών οι οποίοι θα τηρούνται.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
200
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Χειριστές Νομοθετικού Έργου: Είναι οι χειριστές οι οποίοι θα συμμετέχουν στις ροές εργασίας<br />
παραγωγής Νομοθετικού Έργου.<br />
• Εσωτερικοί Χειριστές: Είναι οι εσωτερικοί στο σύστημα χειριστές (Υπάλληλοι ΥΠΕΧΩΔΕ, Στελέχη<br />
Πολεοδομικών Υπηρεσιών, Υπάλληλοι ΚΕΠ).<br />
• Εξωτερικοί Χειριστές: Είναι οι εξωτερικοί στο σύστημα χειριστές (Μηχανικοί, Δικηγόροι, Πολίτες).<br />
5.4.11.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:<br />
• Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ<br />
Η συσχέτιση με το έργο «ΣΥΖΕΥΞΙΣ» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέων<br />
με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου.<br />
• Βάση Δεδομένων EUR-Lex<br />
Το σύστημα της Γενικής Πολεοδομικής Νομοθεσίας μέσω του πίνακα «ΕΝΑΡΜΟΝΙΣΗΣ» μπορεί<br />
να διαλειτουργεί με την EUR-Lex η οποία είναι η Βάση Δεδομένων της Ευρωπαϊκής Ένωσης<br />
(Ε.Ε.) όσον αφορά την Νομοθεσία και την Νομολογία.<br />
• ΡΑΠΤΑΡΧΗΣ<br />
Ο στόχος της διαλειτουργικότητας του συστήματος το έργου αυτού με τον ΡΑΠΤΑΡΧΗ είναι η<br />
αυτόματη ενημέρωση του συστήματος της Πολεοδομικής Νομοθεσίας με τα δεδομένα του συστηματος<br />
ΡΑΠΤΑΡΧΗΣ που το αφορούν. Για το κοινό τμήμα της Πολεοδομικής Νομοθεσίας η<br />
πρωτογενής καταχώριση θα γίνεται στο σύστημα ΡΑΠΤΑΡΧΗΣ και τα δεδομένα θα μεταφέρονται<br />
στη βάση της Πολεοδομικής Νομοθεσίας. Η βάση της Πολεοδομικής Νομοθεσίας θα αναγνωρίζει<br />
τα δεδομένα που προέρχονται από το σύστημα ΡΑΠΤΑΡΧΗΣ και δεν θα επιτρέπει την<br />
τροποποίηση τους. Η επικοινωνία θα είναι μονόδρομη, από το σύστημα ΡΑΠΤΑΡΧΗΣ προς τη<br />
βάση της Πολεοδομικής Νομοθεσίας.<br />
5.4.11.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Δεν ακολουθείται κάποια συγκεκριμένη μεθοδολογία, αλλά οι οδηγίες που προτείνονται σε διεθνή<br />
πρότυπα (π.χ. ΝIST, ISO). Τα παραδοτέα που εξετάστηκαν, στην τρέχουσα τους μορφή, δεν παρουσιάζουν<br />
αποτιμήσεις και μέτρα ασφαλείας για το συγκεκριμένο σύστημα, αλλά περιγράφουν τη μεθοδο<br />
με την οποία αυτά θα μπορούσαν να προκύψουν και κάποια παραδείγματα. Συνεπώς, δεν είναι<br />
δυνατή η εξαγωγή συμπερασμάτων.<br />
Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας, η οποία αποτελείται από μια σειρά επιμέρους<br />
πολιτικών. Όσον αφορά τη διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις<br />
ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP),<br />
αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα ασφαλείας.<br />
5.4.12 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής<br />
Η πληροφοριακή υποδομή των Data Centers της ΚτΠ ΑΕ υποστηρίζει πολλές από τις υπηρεσίες οι<br />
οποίες περιλαμβάνονται στις 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης, προς τους πολίτες και<br />
προς τις επιχειρήσεις. Ενδεικτικά, αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται α-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
201
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
πό τα διάφορα ΟΠΣ που περιγράφηκαν παραπάνω και οι οποίες περιλαμβάνονται στις βασικές υπηρεσίες<br />
της Δημόσιας Διοίκησης:<br />
Υπηρεσίες προς Πολίτες<br />
• Υπηρεσίες αναζήτησης εργασίας<br />
• Εισφορές κοινωνικής ασφάλισης<br />
• Έκδοση οικοδομικής άδειας<br />
• Πιστοποιητικά (έκδοση, παραλαβή)<br />
Υπηρεσίες προς Επιχειρήσεις<br />
• Έναρξη επιχείρησης<br />
• Υποβολή στοιχείων σε στατιστικές υπηρεσίες<br />
1. Περιβαλλοντικές άδειες<br />
Επιπλέον, θα παρέχει την κτηριακή εγκατάσταση για την Εθνική Πύλη ΕΡΜΗΣ και διασυνδέεται με<br />
άλλες υποδομές όπως είναι το ΣΥΖΕΥΞΙΣ ή το ΟΠΣ των ΚΕΠ. Συνεπώς, τα Data Centers μπορούν<br />
να χαρακτηριστούν ως υποδομή της Δημόσιας Διοίκησης και σε κάποιες περιπτώσεις παρέχουν την<br />
κτηριακή, δικτυακή και οργανωτική υποδομή για άλλες υποδομές/υπηρεσίες της δημόσιας Διοίκησης.<br />
5.4.13 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής<br />
Για την αξιολόγηση του βαθμού κρισιμότητας των ΟΠΣ των Data Centers, εφαρμόζονται τα κριτήρια<br />
κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:<br />
• Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή<br />
ή μείωση της ποιότητας μιας υπηρεσίας.<br />
• Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της<br />
ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της.<br />
• Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.<br />
• Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική<br />
ή λογική εξάρτηση).<br />
• Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν<br />
αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την<br />
διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.<br />
• Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη<br />
του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.<br />
• Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσιας<br />
διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.<br />
• Προσωπική ασφάλεια: η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.<br />
• Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσωπικών<br />
ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας<br />
έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
202
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη<br />
του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών<br />
και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές.<br />
Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 29.<br />
Κριτήρια<br />
Αριθμός<br />
επηρεαζόμεν<br />
ων χρηστών<br />
Οικονομική<br />
Επίπτωση<br />
( € )<br />
Γεωγραφική<br />
εμβέλεια<br />
Αλληλεξάρτηση<br />
Ανάκαμψη<br />
(χρόνος, κόστος)<br />
Αντίδραση<br />
της κοινής<br />
γνώμης<br />
Εφαρμογή<br />
πολιτικής και<br />
λειτουργία<br />
ΔΔ<br />
Προσωπική<br />
ασφάλεια<br />
Αποκάλυψη<br />
προσωπικών-<br />
/εμπιστευτικ<br />
Επιπτώσεις από τη μη λειτουργία πληροφοριακής \ δικτυακής υποδομής<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή<br />
>100,000<br />
10,000-<br />
100,00<br />
1,000-10,000 100-1,000 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ<br />
Διεθνής<br />
Καταλυτική ε-<br />
πίδραση σε της<br />
υποδομές/τομε<br />
ίς<br />
Υψηλό κόστος<br />
σε πολλούς τομείς,<br />
μακρύς<br />
χρόνος ανάκαμψης<br />
(μηνες<br />
– χρόνια)<br />
Διεθνής<br />
αποδοκιμασία<br />
Σοβαρή παρεμπόδιση<br />
ή διακοπή<br />
της ανάπτυξης/εφαρμογής<br />
κυβερνητικών<br />
πολιτικών<br />
Απώλεια πολλών<br />
ανθρώπινων<br />
ζωών<br />
Αποκάλυψη<br />
απόρρητων<br />
κυβερνητικών<br />
Εθνική<br />
Σημαντική<br />
επίδραση σε<br />
της υποδομές/τομείς<br />
Υψηλό κόστος,<br />
υψηλός<br />
απαιτουμενος<br />
χρόνος α-<br />
νάκαμψης<br />
(βδομάδες –<br />
μήνες)<br />
Περιορισμός<br />
κυβερνητικής<br />
αξιοπιστίας<br />
σε διεθνές<br />
επίπεδο<br />
Υποβάθμιση<br />
της διαπραγματευτικής<br />
και συναλλακτικής<br />
δυνατηςτητας<br />
της<br />
κυβέρνησης<br />
Απώλεια ανθρώπινης<br />
ζωής<br />
Παραβίαση<br />
νομοθεσίας<br />
και σοβαρή<br />
Περιφερειακ<br />
ή<br />
Μέτρια επίδραση<br />
σε της<br />
υποδομές/-<br />
τομείς<br />
Μέσο κόστος,<br />
σημαντικός<br />
χρόνος<br />
ανάκαμψης<br />
(μέρες –<br />
βδομάδες)<br />
Μετριασμός<br />
κυβερνητικής<br />
αξιοπιστίας<br />
σε εθνικό<br />
επίπεδο<br />
Παρεμπόδιση<br />
της αποτελεσματικής<br />
ανάπτυξης/εφ<br />
αρμογής κυβερνητικών<br />
πολιτικών<br />
Σημαντικός<br />
τραυματισμό<br />
ς πολλών<br />
προσώπων<br />
Παραβίαση<br />
νομοθεσίας<br />
και σοβαρή<br />
Τοπική<br />
(πολλοί<br />
φορείς)<br />
Μικρή επίδραση<br />
σε της υποδομές/τομείς<br />
Χαμηλό κόστος,<br />
μικρός<br />
απαιτούμενος<br />
χρόνος ανάκαμψης<br />
(ώρες – μέρες)<br />
Αρνητική<br />
δημοσιότητα<br />
κυβερνητικών<br />
οργανισμών/<br />
φορέων<br />
Υπονόμευση<br />
της σωστής<br />
διαχείρισης ή<br />
λειτουργίας<br />
ΔΥ<br />
Μικροτραυματ<br />
ισμοί πολλών<br />
προσώπων<br />
Μικρή ενόχληση<br />
πολλών<br />
προσώπων<br />
Τοπική<br />
(λίγοι φορείς)<br />
Επίδραση σε<br />
μία υποδομή/-<br />
τομέα<br />
Αμελητέο κόστος,<br />
μικρός<br />
απαιτούμενος<br />
χρόνος ανάκαμψης<br />
(ώρες)<br />
Αρνητική δημοσιότητα<br />
ε-<br />
νός κυβερνητικού<br />
οργανισμού/φορέα<br />
Ανεπαρκής<br />
λειτουργία<br />
μιας ΔΥ<br />
Μικροτραυματισμός<br />
ενός<br />
προσώπου<br />
Μικρή ενόχληση<br />
ενός προσώπου<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
203
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ών<br />
δεδομένων<br />
Επιρροή στην<br />
άποψη του<br />
κοινού για<br />
της<br />
ΤΠΕ/ΠΕΥ<br />
δεδομένων<br />
Απαξίωση των<br />
ΤΠΕ/ΠΕΥ από<br />
το κοινωνικό<br />
σύνολο<br />
ενόχληση<br />
πολλών<br />
προσώπων<br />
Αρνητικός<br />
επηρεασμός<br />
κοινωνικού<br />
συνόλου<br />
ενόχληση της<br />
προσώπου<br />
Κλονισμός<br />
εμπιστοσύνης<br />
κοινωνικού<br />
συνόλου<br />
Απογοήτευση<br />
επιμέρους<br />
ομάδων του<br />
πληθυσμού<br />
Απογοήτευση<br />
μεμονωμένων<br />
πολιτών<br />
Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών<br />
Εφαρμόζοντας τα παραπάνω κριτήρια προκύπτουν τα ακόλουθα στοιχεία:<br />
1. Αριθμός επηρεαζόμενων χρηστών. Τα Data Centers φιλοξενούν, μεταξύ άλλων, ΟΠΣ για όλες<br />
τις νομαρχιακές αυτοδιοικήσεις της χώρας, αλλά και την Εθνική Πύλη ΕΡΜΗΣ, συνεπώς ο α-<br />
ριθμός των χρηστών που εξυπηρετούν υπερβαίνει τους 100.000 χρήστες και η επίπτωση χαρακτηρίζεται<br />
ως Πολύ Υψηλή.<br />
2. Οικονομική Επίπτωση. Τα Data Centers δεν υποστηρίζoυν άμεσες οικονομικές συναλλαγές και<br />
συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμογές<br />
τις οποίες υποστηρίζουν.Συνεπώς, η επίπτωση κρίνεται ως ‘Χαμηλή’.<br />
3. Γεωγραφική Εμβέλεια. Tα ΟΠΣ παρέχουν υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητα<br />
των Data Centers με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή.<br />
4. Αλληλεξάρτηση. Τα ΟΠΣ εξαρτώνται λογικά από διάφορα άλλα ΟΠΣ δημοσίων φορέων με τα<br />
οποία διασυνδέονται, αλλά και από δίκτυα, όπως το ΣΥΖΕΥΞΙΣ. Ιδιαίτερα ο ΕΡΜΗΣ συνδέεται<br />
με πληθώρα συστημάτων που παρέχουν υπηρεσίες. Η παραβίαση κάποιας συνιστώσας της<br />
ασφάλειας των Data Centers και των σχετικών ΟΠΣ, εκτιμάται ότι θα είχε επίδραση και σε άλλες<br />
υποδομές. Συνεπώς η κρισιμότητα των Data Centers, με βάση το βαθμό αλληλοεξάρτησης,<br />
χαρακτηρίζεται ως Υψηλή.<br />
5. Ανάκαμψη. Τα ΟΠΣ λειτουργούν ως ένα συμπληρωματικό μέσο για την παροχή υπηρεσιών<br />
από τους δημόσιους φορείς και υπάρχουν εναλλακτικοί δίαυλοι για την παροχή των υπηρεσιών<br />
(π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα). Παρόλο αυτά, η εθνική Πύλη ΕΡΜΗΣ<br />
έχει υψηλές απαιτήσεις διαθεσιμότητας, ενώ τα ΟΠΣΝΑ υποστηρίζουν όλη τη λειτουργία των<br />
Νομαρχιακών Αυτοδιοικήσεων σε αυτές τις λειτουργικές περιοχές. Παράλληλα, η ανάκαμψη<br />
των ΟΠΣ ενδέχεται να απαιτεί μεγάλο χρονικό διάστημα και υψηλό κόστος, καθώς σε πολλές<br />
περιπτώσεις δεν υπάρχουν εναλλακτικές εγκαταστάσεις και υλοποιημένα σχέδια συνέχισης<br />
λειτουργίας. Συνεπώς, η κρισιμότητα των ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσιών<br />
του χαρακτηρίζεται ως Υψηλή.<br />
6. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος των ΟΠΣ και τον αριθμό των χρηστών,<br />
αλλά και το γεγονός ότι τα Data Centers παρέχουν υπηρεσίες του δημοσίου, εκτιμάται ότι πιθανή<br />
παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ θα επηρέαζε την κυβερνητική αξιοπιστία<br />
σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα των Data Centers με βάση το βαθμό εμπιστοσύνης<br />
της κοινής γνώμης χαρακτηρίζεται ως Μέτρια.<br />
7. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Καθώς τα Data Centers υποστηρίζουν<br />
πολλούς κυβερνητικών φορέων, και κατ’ επέκταση την εφαρμογή της κυβερνητικής πολιτικής,<br />
η παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ ενδέχεται να παρεμποδίσει την<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
204
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
αποτελεσματική ανάπτυξη/εφαρμογή κυβερνητικών πολιτικών. Συνεπώς, η κρισιμότητα των<br />
Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Μέτρια.<br />
8. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτων,<br />
με τη μόνη εξαίρεση του ΟΠΣΝΑ για τη Λειτουργική Περιοχή της Υγείας. Συνεπώς η<br />
κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ Χαμηλή.<br />
9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπιστευτικότητας<br />
των διακινούμενων ή διατηρούμενων δεδομένων των = ΟΠΣ, και με δεδομένο<br />
το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής<br />
νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Συνεπώς, η κρισιμότητα των Data<br />
Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή.<br />
10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι η Εθνική Πύλη ΕΡΜΗΣ<br />
απότελεί κομβικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και<br />
επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω<br />
της χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε<br />
αρνητικό επηρεασμό του κοινωνικού συνόλου. Αν συνυπολογίσει κανείς ότι τα Data Centers<br />
υποστηρίζουν και άλλες πύλες (ΡΑΠΤΑΡΧΗΣ, ΑΜΕΑ, κλπ.), αλλά και ένα μεγάλο μέρος των<br />
υπηρεσίων των ΝΑ, το πλήθος των πολιτών που ενδέχεται να επηρεαστούν αρνητικά αυξάνει.<br />
Συνεπώς, η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ<br />
Υψηλή.<br />
5.4.14 Συμπεράσματα<br />
Τα Data Centers συγκεντρώνουν πληθώρα ΟΠΣ τα οποία υποστηρίζουν πολλούς οργανισμούς του<br />
δημοσίου (Υπηρεσία Διαχείρισης Διαρκούς Κώδικα Νομοθεσίας (ΥΠΕΣ), Yπουργείο Τουριστικής<br />
Ανάπτυξης, Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, Ινστιτούτο Κοινωνικής<br />
Προστασίας και Αλληλεγγύης (ΙΚΠΑ), Νομαρχιακές Αυτοδιοικήσεις κ.ά.) αλλά και το σύνολο του<br />
δημοσίου με την εθνική Πύλη ΕΡΜΗΣ. Συνεπώς, αποτελούν κρίσιμη υποδομή για μεγάλο πλήθος<br />
δημοσίων υπηρεσιών.<br />
Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, οι περισσότερες υπηρεσίες<br />
βρίσκονται στο στάδιο 2 (αλληλεπίδραση) και στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ κάποιες<br />
βρίσκονται στο στάδιο 4 (συναλλαγής) σε πιλοτική λειτουργία. Τα ΟΠΣ διασυνδέονται σε μικρότερο<br />
ή μεγαλύτερο βαθμό με άλλα ΟΠΣ δημόσιων φορέων, ενώ υποστηρίζονται και από άλλες<br />
υποδομές όπως το ΣΥΖΕΥΞΙΣ.<br />
Στην παρούσα φάση, τα Data Centers αξιολογούνται ως υποδομή με Υψηλή κρισιμότητα, κυρίως<br />
λόγω του μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής γεωγραφικής έκτασης<br />
τους, αλλά και του γεγονότος ότι τα Data Centers φιλοξενούν μεγάλο πλήθος ετερογενών συστημάτων<br />
του δημοσίου. Το γεγονός ότι τα Data Centers θα φιλοξενούν την Εθνική Πύλη ΕΡΜΗΣ αυξάνει<br />
την κρισιμότητα για το σύνολο των ΟΠΣ.<br />
Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας<br />
κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση<br />
με τον αριθμό των χρηστών και την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ, όπως άλλωστε<br />
είναι αναμενόμενο, αφού τα Data Centers αποτελoύν τη βασική υποδομή για μια πληθώρα ε-<br />
φαρμογών και συστημάτων. Υψηλή επίσης χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια,<br />
στην Εμπιστοσύνη της κοινής γνώμης, στην Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών,<br />
αφού τα ΟΠΣ αφορούν στο σύνολο της Ελληνικής Επικράτειας. Παράλληλα, τα Data Centers<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
205
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
έχουν υψηλές χρονικές και οικονομικές απαιτήσεις για την ανάκαμψή τους, σε περίπτωση που<br />
συμβεί κάποιο σημαντικό γεγονός που θα επηρεάσει το σύνολο των ΟΠΣ.<br />
Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι τα Data Centers αποτελούν ‘Κρίσιμη<br />
Υποδομή της Δημόσιας Διοίκησης’.<br />
5.5 ΟΠΣ ΚΕΠ<br />
5.5.1 Στοιχεία ταυτότητας έργου<br />
Ο θεσμός των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ) λειτουργεί τα τελευταία χρόνια στην Ελλάδα,<br />
στοχεύοντας στην μείωση της γραφειοκρατίας στις συναλλαγές των πολιτών με τη δημόσια διοίκηση,<br />
υλοποιώντας πολιτο-κεντρικές διαδικασίες, μειώνοντας την ανάγκη πολλαπλών επισκέψεων και αξιοποιώντας<br />
εναλλακτικά κανάλια επικοινωνίας.<br />
Για την υποστήριξη και αυτοματοποίηση της παροχής υπηρεσιών και πληροφοριών μέσα από τα<br />
ΚΕΠ, το Υπουργείο Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΔΑ) υλοποίησε<br />
το έργο «Παροχή Υπηρεσιών SLA Μέσα Από την Ανάπτυξη και Λειτουργία των Απαραιτήτων Υποδομών<br />
ΤΠΕ για την Εξυπηρέτηση των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ)». Τα στοιχεία της ταυτοτητας<br />
του έργου είναι τα ακόλουθα:<br />
Φορέας έργου:<br />
Υπουργείο Εσωτερικών<br />
Ανάδοχος:<br />
Newsphone Hellas<br />
ΣΤΥ -<br />
Μελετητής Ασφάλειας: Πανεπιστήμιο Πειραιώς<br />
Προϋπολογισμός έργου: 14.000.000 €<br />
Διάρκεια έργου: 30 μήνες<br />
Τρέχουσα φάση έργου: Περίπου 12 μήνες για τη λήξη<br />
5.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου<br />
Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ<br />
Το ΟΠΣ των ΚΕΠ, αποτελείται από οκτώ υποσυστήματα, τα οποία υλοποιούν τις βασικές λειτουργικές<br />
οντότητες του έργου. Συνοπτικά τα υποσυστήματα του ΟΠΣ είναι τα ακόλουθα:<br />
• Υποσύστημα 1: Οι βασικές λειτουργίες του είναι η συγκέντρωση, η κωδικοποίηση, η ψηφιοποίηση<br />
και η επεξεργασία του συνόλου της δημόσιας και διοικητικής πληροφορίας που σχετιζεται<br />
με την παροχή υπηρεσιών σε Πολίτες και Επιχειρήσεις, καθώς επίσης και ο σχεδιασμός και υλοποίηση<br />
βάσης δεδομένων διοικητικών πληροφοριών και εντύπων.<br />
• Υποσύστημα 2: Οι βασικές λειτουργίες του αφορούν την ανάπτυξη διαδικτυακής πύλης για την<br />
παροχή διοικητικής πληροφόρησης προς τους πολίτες και τις επιχειρήσεις και την εκτέλεση η-<br />
λεκτρονικών συναλλαγών μεταξύ πολιτών/επιχειρήσεων και της Δημόσιας Διοίκησης ή και μεταξύ<br />
υπηρεσιών της Δημόσιας Διοίκησης.<br />
• Υποσύστημα 3: Υποστηρίζει την παροχή πληροφοριών και την υποβολής αιτήσεων ηλεκτρονικών<br />
συναλλαγών μέσω τηλεφωνικού κέντρου (call center).<br />
• Υποσύστημα 4: Υποστηρίζει την παροχή υπηρεσιών και πληροφοριών μέσω των ΚΕΠ, με την α-<br />
νάπτυξη συστήματος διαχείρισης της λειτουργίας των ΚΕΠ.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
206
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Υποσύστημα 5: Αφορά την ανάπτυξη και υποστήριξη Ιδεατού Ιδιωτικού Δικτύου (Virtual Private<br />
Network – VPN) για τη διασύνδεση όλων των ΚΕΠ που βρίσκονται εκτός του ΣΥΖΕΥΞΙΣ.<br />
• Υποσύστημα 6: Έλεγχος – Διαχείριση – Λήψη Αποφάσεων. Περιλαμβάνει την ανάπτυξη υποσυστηματος<br />
παρακολούθησης και ελέγχου των επιδόσεων του ΟΠΣ και των εμπλεκομένων στην<br />
παροχή υπηρεσιών φορέων (π.χ. ΚΕΠ, Call Center, Δημόσιες Υπηρεσίες).<br />
• Υποσύστημα 7: Παροχή υπηρεσιών εκπαίδευσης. Υποστηρίζει την παροχή υπηρεσιών εκπαίδευσης<br />
και υποστήριξης για τη λειτουργία του ΟΠΣ.<br />
• Υποσύστημα 8: Υπηρεσίες υποστήριξης Help Desk. Αφορά την οργάνωση και λειτουργία Help<br />
Desk για την υποστήριξη των χρηστών.<br />
Η λογική αρχιτεκτονική του ΟΠΣ, περιλαμβανομένης της δικτυακής υποδομής φαίνεται στο Σχήμα<br />
36. Το κύριο κέντρο λειτουργίας (main site) βρίσκεται στο Κορωπί Αττικής, στις εγκαταστάσεις της<br />
εταιρείας HOL, ενώ το εναλλακτικό κέντρο λειτουργίας (failover site) βρίσκεται στις εγκαταστάσεις<br />
του αναδόχου (Newsphone) στην Καλλιθέα Αττικής (Λεωφόρος Θησέως). Το εναλλακτικό κέντρο<br />
περιλαμβάνει όλες τις κατηγορίες εξυπηρετητών σε μικρότερη όμως κλίμακα.<br />
Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)<br />
Κάθε κατηγορία από εξυπηρετητές (web servers, application servers, database servers, LDAP servers,<br />
authentication servers) υλοποιείται σε διάταξη υψηλής διαθεσιμότητας από τουλάχιστον δύο servers,<br />
ώστε να διασφαλίζεται η αδιάλειπτη λειτουργία του συστήματος.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
207
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Το κεντρικό αποθετήριο πληροφοριών (data repository) διατηρεί το σύνολο της διοικητικής πληροφορίας<br />
που δημοσιεύεται στο portal και το σύνολο των συναλλαγών των πολιτών/ επιχειρήσεων με<br />
τα ΚΕΠ, το portal και το call center. Η διαχείριση του αποθετηρίου πραγματοποιείται μέσω των database<br />
servers. Η λήψη των αντιγράφων ασφαλείας πραγματοποιείται μέσω μηχανισμού αντιγραφής<br />
δεδομένων (data replication) ώστε να διατηρούνται τα δεδομένα σε πραγματικό χρόνο και στο κέντρο<br />
εναλλακτικής λειτουργίας, ώστε να είναι σε θέση να αναλάβει αυτόματα τη λειτουργία του συστήματος<br />
σε περίπτωση διακοπής λειτουργίας της βασικής εγκατάστασης.<br />
Η διοικητική πληροφορία παράγεται και επικαιροποιείται από το υποσύστημα διαχείρισης περιεχομενου<br />
(Content Management System - CMS) όπου υλοποιούνται οι ροές εργασίας για την έγκριση και<br />
δημοσίευσή της. Στις ροές αυτές συμμετέχουν τα μέλη της ομάδας συγκέντρωσης και επικαιροποίησης<br />
περιεχομένου. Η εγκεκριμένη πληροφορία δημοσιεύεται στο portal και είναι διαθέσιμη στους πολίτες,<br />
τους εργαζόμενους στα ΚΕΠ, τους εργαζόμενους στο call center και, φυσικά, στους διαχειριστές<br />
του Υπουργείου. Αντίστοιχα, οι πληροφορίες που αφορούν στη διεκπεραίωση αιτημάτων πολιτών<br />
και προέρχονται από υποβολή αίτησης στο portal, στο call center ή στο ΚΕΠ, διαχειρίζονται από<br />
διαδικτυακή εφαρμογή που υλοποιείται στους application servers. Στην εφαρμογή αυτή έχουν πρόσβαση,<br />
οι εργαζόμενοι στα ΚΕΠ, οι εργαζόμενοι στο call center και οι πολίτες, από διαφορετική διεπαφή<br />
(interface) για κάθε κατηγορία. Η εφαρμογή δίνει δικαιώματα αντίστοιχα με το ρόλο του χρήστη<br />
και ενεργοποιεί της ενέργειες που επιτρέπονται σε αυτόν.<br />
Τα προφίλ του συνόλου των χρηστών (εργαζομένων και πολιτών) καθώς και τα ηλεκτρονικά πιστοποιητικά<br />
της, αποθηκεύονται και διαχειρίζονται από τους LDAP servers. Οι servers αυτοί διασυνδεονται<br />
με τους αντίστοιχους LDAP servers του ΣΥΖΕΥΞΙΣ ώστε να είναι δυνατή η χρήση πιστοποιητικών<br />
που προέρχονται από το ΣΥΖΕΥΞΙΣ, ενώ βρίσκονται σε διάταξη υψηλής διαθεσιμότητας.<br />
Στην πράξη η διασύνδεση των LDAP server έχει πραγματοποιηθεί δοκιμαστικά μόνο στην εφαρμογή<br />
e-kep που αφορά της υπαλλήλους.<br />
Οι υπηρεσίες ηλεκτρονικού ταχυδρομείου υλοποιούνται μέσω των email servers και σε συνεργασία<br />
με το μηχανισμό πιστοποίησης (στην παρούσα φάση χρησιμοποιείται συνδυασμός username/password)<br />
παρέχουν ηλεκτρονικά γραμματοκιβώτια σε όλους της εργαζόμενους στα ΚΕΠ.<br />
Η πιστοποίηση των χρηστών πραγματοποιείται μέσω του authentication server καλώντας της αντίστοιχες<br />
υπηρεσίες καταλόγου. Εδώ υλοποιείται και η υπηρεσία single sign on, η μοναδική δηλαδή πιστοποίηση<br />
του κάθε χρήστη ανεξάρτητα του υποσυστήματος στο οποίο ζητάει πρόσβαση. Η υπηρεσία<br />
single sign on αφορά μόνο την πρόσβαση σε επίπεδο portal.<br />
Το σύστημα διαχείρισης διοικητικής πληροφορίας (Management <strong>Information</strong> System – MIS) είναι ε-<br />
γκατεστημένο στο χώρο του ΥπΕς όπου βρίσκονται τα απαραίτητα συστήματα (MIS application server<br />
και MIS BD server). Εκεί αποθηκεύονται ομαδοποιημένες της οι πληροφορίες που αφορούν τις<br />
συναλλαγές των πολιτών και τα δεδομένα λειτουργίας του συστήματος (στατιστικά, δείκτες παρακολούθησης<br />
SLA κλπ).<br />
Το ΟΠΣ διασυνδέεται με το ΣΥΖΕΥΞΙΣ (πέρα από τη διασύνδεση των αντίστοιχων LDAP servers),<br />
ώστε να επιτρέπεται η διασύνδεση με άλλα ΟΠΣ του ευρύτερου δημόσιου τομέα. Η σύνδεση πραγματοποιείται<br />
μέσω γραμμής των 8 Mbit (θεωρητικά διπλής, στην πράξη μίας γραμμής).<br />
Το περιβάλλον διασύνδεσης με άλλα πληροφοριακά συστήματα υλοποιείται – κατά κύριο λόγο – με<br />
τεχνολογία web services. Διακρίνονται δύο είδη υπηρεσιών: αυτές που δημοσιεύουν πληροφορίες<br />
του συστήματος (κυρίως διοικητική πληροφορία από το σύστημα ΕΡΜΗΣ) και αυτές που αλληλεπιδρούν<br />
με άλλα ΟΠΣ με σκοπό, κυρίως την παραγωγή πιστοποιητικών και την παροχή υπηρεσίας<br />
ηλεκτρονικών πληρωμών. Με τη χρήση web services θα υλοποιηθεί μία ενιαία διεπαφή (interface)<br />
που θα επιτρέπει ηλεκτρονικές πληρωμές από κάθε μέσο επικοινωνίας του πολίτη. Το interface αυτό<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
208
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
διαφέρει ανάλογα με το ποιος το χρησιμοποιεί αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το<br />
portal όσο και για τους εργαζόμενους στα ΚΕΠ και το call center. Στην παρούσα φάση, δεν έχει υλοποιηθεί<br />
η συγκεκριμένη διεπαφή ηλεκτρονικών πληρωμών.<br />
5.5.3 Παρεχόμενες Υπηρεσίες<br />
5.5.3.1 Επιγραμματική περιγραφή<br />
Ο βασικός σκοπός του έργου είναι η ανάπτυξη και λειτουργία των απαραίτητων υποδομών ΤΠΕ για<br />
την αυτοματοποίηση των παρεχόμενων υπηρεσιών των ΚΕΠ. Οι υπηρεσίες παρέχονται με το<br />
μοντέλο Application Service Provider (ASP) από τον ανάδοχο του έργου, βάσει συμφωνητικού παροχής<br />
συγκεκριμένου επιπέδου υπηρεσιών (Service Level Agreement – SLA). Οι κύριοι στόχοι του έργου<br />
είναι:<br />
• Η υποστήριξη της λειτουργίας των ΚΕΠ για τη λήψη, διαχείριση και διεκπεραίωση αιτημάτων<br />
πολιτών.<br />
• Η παροχή πληροφοριών, υπηρεσιών και ηλεκτρονικών συναλλαγών διοικητικής φύσης σε<br />
πολίτες και επιχειρήσεις.<br />
• Η έγκυρη και έγκαιρη ενημέρωση της πολιτικής ηγεσίας για την ποιότητα και την αποτελεσματικότητα<br />
του μηχανισμού παροχής υπηρεσιών.<br />
Το σύστημα παρέχει στους πολίτες την δυνατότητα χρήσης πολλαπλών καναλιών επικοινωνίας, της<br />
είναι το Διαδίκτυο (Internet), τηλεφωνικά μέσω call center και των ίδιων των ΚΕΠ.<br />
Οι βασικές υπηρεσίες που παρέχει αφορούν την έκδοση διαφόρων πιστοποιητικών/εγγράφων από ένα<br />
πλήθος φορέων της δημόσιας διοίκησης. Συνολικά, τα ΚΕΠ διεκπεραιώνουν 1034 υπηρεσίες (διαδικασίες).<br />
Παρά το μεγάλο πλήθος, το μεγαλύτερο ποσοστό του συστήματος καλύπτεται από περίπου<br />
30 υπηρεσίες.<br />
Ηλεκτρονικά υποβάλλονται μόνο οι αιτήσεις για τις οποίες μπορούν τα ΚΕΠ να αναζητήσουν της α-<br />
παιτούμενες πληροφορίες υπηρεσιακά και δεν απαιτείται υπογραφή του πολίτη (περίπου 90 αιτήσεις).<br />
Αυτό οφείλεται στο γεγονός ότι το σύστημα στην παρούσα φάση δεν υποστηρίζει ψηφιακή υπογραφή<br />
για της πολίτες ώστε να μπορούν να υποβάλουν ηλεκτρονικά υπογεγραμμένα έντυπα-αιτήσεις.<br />
Προϋπόθεση για την ηλεκτρονική υποβολή και διεκπεραίωση όλων των αιτήσεων είναι η πιστοποίηση<br />
και αυθεντικοποίηση των χρηστών/πολιτών (μέσω ψηφιακού πιστοποιητικού και ηλεκτρονικής υ-<br />
πογραφής).<br />
Σε πιλοτική λειτουργία, βρίσκεται και η υπηρεσία ηλεκτρονικών πληρωμών με μετρητά σε 23 ΚΕΠ<br />
σε όλη την Ελλάδα, σε συνεργασία με την Τράπεζα Πειραιώς. Οι πληρωμές που υποστηρίζονται<br />
στην πιλοτική λειτουργία είναι:<br />
• Πληρωμές λογαριασμών ΔΕΗ, ΟΤΕ<br />
• Καταβολή ασφαλιστικών εισφορών της ΙΚΑ και ΟΑΕΕ-ΤΕΒΕ<br />
• Πληρωμή φορολογίας εισοδήματος<br />
• Πληρωμή ΦΠΑ<br />
• Πληρωμή τελών τηλεφωνίας στις εταιρείες σταθερής και κινητής τηλεφωνίας<br />
• Ανανέωση χρόνου ομιλίας καρτοκινητού<br />
• Εξόφληση πιστωτικών καρτών όλων των Ελληνικών Τραπεζών<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
209
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Εξόφληση δανείων της Τράπεζας Πειραιώς.<br />
Αν και υπήρχε πρόβλεψη για μαζικότερη εγκατάσταση μηχανημάτων ηλεκτρονικών πληρωμών στο<br />
δίκτυο των ΚΕΠ σε επόμενη φάση, δεν έχει υλοποιηθεί μέχρι στιγμής.<br />
5.5.3.2 Πηγές/αποδέκτες δεδομένων<br />
Πηγές δεδομένων είναι όλοι οι φορείς της δημόσιας διοίκησης με τους οποίους συνεργάζεται. Ενδεικτικά<br />
αναφέρονται:<br />
1. Υπουργεία και Διευθύνσεις Υπουργείων<br />
2. Νομαρχιακές Αυτοδιοικήσεις<br />
3. Δήμοι και Κοινότητες<br />
4. ΑΕΙ και ΑΤΕΙ<br />
5. Ασφαλιστικά Ταμεία (ΙΚΑ, ΟΑΕΕ, ΟΓΑ, ΝΑΤ κλπ.)<br />
6. Οργανισμός Ελληνικών Αγροτικών Ασφαλίσεων (ΕΛΓΑ)<br />
7. Δημόσιες Οικονομικές Υπηρεσίες, ΓΓΠΣ/ΥπΟικΟ<br />
8. Αστυνομικά Τμήματα, Λιμενικές Αρχές<br />
9. Στρατολογικά Γραφεία ΥπΕθΑ<br />
10. Δικαστικές Αρχές (Εφετεία, Πρωτοδικεία, Ειρηνοδικεία κλπ.)<br />
11. Προξενικές Αρχές<br />
12. Νοσηλευτικά Ιδρύματα<br />
13. ΔΕΗ, ΕΥΔΑΠ<br />
14. Επιμελητήρια.<br />
Το σύστημα στηρίζεται κατά βάση στην αποστολή στοιχείων μέσα από φόρμες που βασίζονται στο<br />
πρότυπο pdf. Οι αιτήσεις των πολιτών συμπληρώνονται, πρωτοκολλούνται από το σύστημα και τα<br />
πεδία της pdf φόρμας μεταφέρονται μέσω επικοινωνίας ftf στην κεντρική βάση δεδομένων όπου και<br />
αποθηκεύονται.<br />
5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ<br />
Εφόσον οι υπηρεσίες που παρέχουν τα ΚΕΠ στους πολίτες αφορούν πλήθος φορέων της δημόσιας διοίκησης,<br />
είναι αναμενόμενο ότι το ΟΠΣ των ΚΕΠ θα πρέπει να διασυνδέεται με διάφορα άλλα ΟΠΣ<br />
των φορέων αυτών. Της, στην παρούσα φάση από το σύνολο των εξυπηρετούμενων υπηρεσιών των<br />
ΚΕΠ, περίπου στο 90% η διακίνηση της πληροφορίας μεταξύ των ΚΕΠ και των συστημάτων των δημοσίων<br />
φορέων δεν γίνεται ηλεκτρονικά αλλά με συμβατική αλληλογραφία, φαξ, courier, email κλπ.<br />
5.5.4.1 Eπιγραμματική περιγραφή<br />
Οι διασυνδέσεις με εξωτερικά συστήματα (από δημόσιους φορείς ή οποιαδήποτε άλλη οντότητα) υ-<br />
ποστηρίζονται από το «Υποσύστημα Διασύνδεσης με Ηλεκτρονικές Υπηρεσίες». Η διασύνδεση με<br />
άλλα πληροφοριακά συστήματα, τόσο σε επίπεδο πληροφόρησης όσο και σε επίπεδο διεκπεραίωσης,<br />
υλοποιείται με την τεχνολογία web services έτσι ώστε να επιτρέπει την επαναχρησιμοποίηση υποδο-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
210
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
μών ανοικτής αρχιτεκτονικής. Για αυτό είναι επεκτάσιμη για μελλοντικές διασυνδέσεις με άλλα συστηματα,<br />
όποτε υπάρχει δυνατότητα και από τα αντίστοιχα άλλα συστήματα.<br />
Στο πλαίσιο του έργου που ανέλαβε ο ανάδοχος, έχουν ήδη υλοποιηθεί και βρίσκονται σε παραγωγική<br />
λειτουργία οι ακόλουθες διασυνδέσεις:<br />
1. ΑΥΤΟΤΕΛΕΣ ΤΜΗΜΑ ΠΟΙΝΙΚΟΥ ΜΗΤΡΩΟΥ<br />
1.1. Χορήγηση Αντιγράφου Ποινικού Μητρώου<br />
2. ΕΙΔΙΚΟ ΛΗΞΙΑΡΧΕΙΟ<br />
2.1. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γέννησης<br />
2.2. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γάμου<br />
2.3. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Θανάτου<br />
3. ΣΤΡΑΤΟΛΟΓΙΑ<br />
3.1. Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης<br />
4. ΕΠΙΜΕΛΗΤΗΡΙΑ<br />
4.1. Αρνητική βεβαίωση έναρξης<br />
4.2. Βεβαίωση ελέγχου καταστατικού<br />
4.3. Βεβαίωση θεώρησης καταστατικού<br />
4.4. Βεβαίωση ταμειακής ενημερότητας<br />
4.5. Πιστοποιητικό γενικού μητρώου<br />
4.6. Πιστοποιητικό ειδικού μητρώου αντιπροσώπων<br />
4.7. Πιστοποιητικό ειδικού μητρώου αργυροχρυσοχόων<br />
4.8. Πιστοποιητικό ειδικού μητρώου ασφαλιστών<br />
4.9. Πιστοποιητικό ειδικού μητρώου εξαγωγέων<br />
4.10. Πιστοποιητικό ειδικού μητρώου μεσιτών αστικών συμβάσεων<br />
4.11. Πιστοποιητικό ιστορικού μέλους<br />
5. ΕΛΓΑ<br />
5.1. Πιστοποίηση στοιχείων παραγωγού<br />
5.2. Χορήγηση βεβαίωσης προϋπηρεσίας για εποχιακούς γεωπόνους/ κτηνιάτρους<br />
6. ΝΑΤ<br />
6.1. Χορήγηση ενημερωτικού σημειώματος ποσού μηνιαίας κύριας/ επικουρικής σύνταξης για<br />
της τρεις τελευταίους μήνες, της συνταξιούχους του Ναυτικού Απομαχικού Ταμείου ΝΑΤ<br />
7. ΙΚΑ<br />
7.1. Έκδοση βεβαίωσης περί μη ασφάλισης ΙΚΑ<br />
7.2. Έκδοση βεβαίωσης περί μη συνταξιοδότησης από το ΙΚΑ<br />
7.3. Έγγραφή – Πιστοποίηση Εργοδότη για χρήση Ηλεκτρονικών Υπηρεσιών<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
211
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
8. Ανταλλαγή περιεχομένου με site ΑΜΕΑ<br />
8.1. Χορήγηση βεβαίωσης αναπηρίας<br />
8.2. Βεβαίωση χορήγησης οικονομικής ενίσχυσης ανασφάλιστων τετραπληγικών –<br />
παραπληγικών και ακρωτηριασμένων<br />
8.3. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τετραπληγικών – παραπληγικών<br />
ασφαλισμένων του Δημοσίου<br />
8.4. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τυφλότητας<br />
8.5. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε σπαστικά άτομα<br />
8.6. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε άτομα με βαριά αναπηρία<br />
8.7. Βεβαίωση χορήγησης οικονομικής ενίσχυσης Βαριά Νοητικά Καθυστερημένων<br />
8.8. Βεβαίωση χορήγησης οικονομικής ενίσχυσης κωφαλαλίας<br />
9. Έκδοση πιστοποιητικών ψηφιακών υπογραφών σε συνεργασία με το ΣΥΖΕΥΞΙΣ.<br />
Επίσης, βρίσκονται σε φάση παραγωγικής ένταξης διασυνδέσεις και με φορείς όπως το Ειδικό Ληξιαρχείο,<br />
τα Δημοτολόγια και οι Εισαγγελίες.<br />
5.5.4.2 Βαθμός διασύνδεσης<br />
Η επικοινωνία με τα αντίστοιχα συστήματα των φορέων αυτών υποστηρίζεται από τη χρήση διαφόρων<br />
τεχνολογιών όπως η σύνδεση μέσω SSL από το ΚΕΠ μέχρι το ΟΠΣ, επικοινωνία μέσω VPN μεταξύ<br />
του ΟΠΣ και του διασυνδεδεμένου συστήματος, χρήση συμφωνημένου XML schema μέσω των<br />
web services κτλ. Για την παραπάνω επικοινωνία, υλοποιούνται δύο διακριτοί τύποι διασύνδεσης:<br />
• On-line παραγωγή πιστοποιητικών. Το ΟΠΣ καλεί το αντίστοιχο web service του εξωτερικού συστηματος<br />
και αποστέλλει ένα XML request. Με τη λήψη, το εξωτερικό σύστημα παράγει επί τοπου<br />
το αιτούμενο πιστοποιητικό και το αποστέλλει μέσω της XML reply. Το ΟΠΣ των ΚΕΠ το<br />
παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση, την οποία και προωθεί<br />
στο επόμενο στάδιο της ροής εργασίας. Το πιστοποιητικό εμφανίζεται στην οθόνη του εργαζόμενου<br />
στο ΚΕΠ, εκτυπώνεται, σφραγίζεται και παραδίδεται στον πολίτη. Κατά τη διάρκεια της<br />
έκδοσης, τα δύο συστήματα βρίσκονται σε σταθερή επικοινωνία, δεσμεύοντας πόρους των αντίστοιχους<br />
application servers ενώ το τελικό πιστοποιητικό ΔΕΝ αποθηκεύεται στο σύστημα των<br />
ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με το ΝΑΤ και τον ΕΛΓΑ.<br />
• Off-line παραγωγή πιστοποιητικών. Το εξωτερικό σύστημα δέχεται το αίτημα σε προγραμματισμένο<br />
χρόνο. Σε επόμενο χρόνο παράγει το αιτούμενο πιστοποιητικό και το αποστέλλει. Το<br />
σύστημα των ΚΕΠ το παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση,<br />
την οποία και προωθεί στο επόμενο στάδιο της ροής εργασίας. Ο χρήστης που χειρίζεται την υ-<br />
πόθεση ειδοποιείται ότι υπάρχει νέο εισερχόμενο έγγραφο στο φάκελο, οπότε και εμφανίζει το<br />
αποθηκευμένο πιστοποιητικό στην οθόνη του, το εκτυπώνει, το σφραγίζει και ειδοποιεί τον πολίτη.<br />
Κατά τη διάρκεια της έκδοσης, τα δύο συστήματα δεν βρίσκονται σε σταθερή επικοινωνία,<br />
δεν δεσμεύουν πόρους της αντίστοιχους application servers και το τελικό πιστοποιητικό απόθηκεύεται<br />
στο σύστημα των ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με όλα τα<br />
υπόλοιπα συστήματα της δημόσιας διοίκησης.<br />
Παραδείγματα άλλων διασυνδέσεων που θα μπορούσαν να υλοποιηθούν (με βάση τη μελέτη του<br />
Αναδόχου) είναι:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
212
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
10. ΓΓΠΣ, ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ (TAXISnet)<br />
10.1. Φορολογική Ενημερότητα<br />
10.2. Εκκαθαριστικό φόρου εισοδήματος η ΚΒΣ ή Ε9<br />
10.3. Τελωνειακές Διαδικασίες «ISIS net»<br />
10.4. Πιστοποιητικά Συνταξιούχων Δημοσίου, κλπ<br />
11. ΥΠΟΥΡΓΕΙΟ ΑΓΡΟΤΙΚΗΣ ΑΝΑΠΤΥΞΗΣ<br />
11.1. ΟΠΕΚΕΠΕ<br />
11.2. Επιδοτήσεις<br />
11.3. ΟΓΑ (Συντάξεις – Παροχές), κλπ<br />
12. ΥΠΟΥΡΓΕΙΟ ΜΕΤΑΦΟΡΩΝ<br />
12.1. Μεταβιβάσεις ΙΧ<br />
13. ΥΠΟΥΡΓΕΙΟ ΑΠΑΣΧΟΛΗΣΗΣ και ΚΟΙΝΩΝΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ<br />
5.5.4.3 Διασυνδέσεις με άλλα συστήματα<br />
Για την υλοποίηση ηλεκτρονικών πληρωμών έχει προβλεφθεί διασύνδεση μέσω της Τράπεζας Πειραιώς.<br />
Με τη χρήση web services θα υλοποιηθεί ένα ενιαίο Interface που θα επιτρέπει ηλεκτρονικές<br />
πληρωμές από κάθε μέσο επικοινωνίας. Το Interface θα διαφέρει ανάλογα με το ποιος το χρησιμοποιεί<br />
αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το portal όσο και για της εργαζομένους στα<br />
ΚΕΠ και το call center.<br />
Όπως αναφέρθηκε, προϋπόθεση για την ηλεκτρονική διεκπεραίωση όλων των αιτήσεων είναι η υποστήριξη<br />
ψηφιακών πιστοποιητικών για της πολίτες. Για αυτό το έχει προβλεφθεί στο ΟΠΣ η λειτουργία<br />
LDAP servers, στους οποίους θα βρίσκονται αποθηκευμένα τα ψηφιακά πιστοποιητικά. Οι<br />
LDAP servers διασυνδέονται με τους LDAP servers του ΣΥΖΕΥΞΙΣ, έτσι ώστε να γίνονται δεκτά και<br />
πιστοποιητικά που προέρχονται από το ΣΥΖΕΥΞΙΣ. Επίσης, προβλέπεται διασύνδεση με τους αντίστοιχους<br />
LDAP servers της Εθνικής Δικτυακής Πύλης ΕΡΜΗΣ στο πλαίσιο της γενικότερης διαλειτουργικότητας<br />
μεταξύ των δύο συστημάτων, όταν το δεύτερο θα βρίσκεται σε λειτουργία.<br />
5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου<br />
Για την ασφάλεια του ΟΠΣ έχει διενεργηθεί μελέτη Ασφάλειας και βρίσκεται σε εφαρμογή Πολιτική<br />
Ασφάλειας του ΟΠΣ. Τα βασικά μέτρα ασφάλειας που προβλέπονται είναι γενικά τα εξής:<br />
• Για την διασφάλιση του απορρήτου και της ακεραιότητας της επικοινωνίας μέσω διαδικτύου, χρησιμοποιείται<br />
το πρωτόκολλο HTTPS, και ποιο συγκεκριμένα γίνεται εφαρμογή SSL έκδοσης 3,<br />
με κλειδί κρυπτογράφησης 128 bit.<br />
• Για τη διασφάλιση της διαθεσιμότητας των συστημάτων έχει προβλεφθεί η χρήση (τουλάχιστον)<br />
διπλών συστημάτων για ορισμένες κατηγορίες εξυπηρετητών. Πρακτικά δεν γίνεται διαχωρισμός<br />
υπηρεσιών ανάλογα με την κρισιμότητά τους αλλά αυτές προσφέρονται από όλα τα ομοειδή<br />
συστήματα. Δηλαδή σε περίπτωση που εμφανιστεί πρόβλημα το οποίο επηρεάζει τη λειτουργία<br />
του συστήματος, τότε θα τεθούν οι υπηρεσίες εκτός λειτουργίας.<br />
• Για την αυθεντικοποίηση των εξυπηρετητών (server authentication) χρησιμοποιούνται ψηφιακά<br />
πιστοποιητικά (τύπου X.509) με μήκος κλειδιού 1024 bit.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
213
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Για την αυθεντικοποίηση των χρηστών (client authentication) χρησιμοποιούνται κωδικοί πρόσβασης<br />
χρηστών (username/password). Με την χρήση των LDAP servers, τόσο του ΟΠΣ όσο και άλλων<br />
συστημάτων, επιτρέπεται η αναβάθμιση της αυθεντικοποίησης των χρηστών μέσω ψηφιακών<br />
πιστοποιητικών.<br />
• Για την ανίχνευση των προβλημάτων ασφάλειας γίνεται καταγραφή όλων των ενεργειών σε επίπεδο<br />
εφαρμογής (logging and auditing), έτσι ώστε να είναι δυνατός ο καταλογισμός ενεργειών<br />
και η συσχέτιση με της χρήστες των εφαρμογών. Η πρόσβαση στα αρχεία καταγραφής (logs) γίνεται<br />
από εξουσιοδοτημένα άτομα, με δυνατότητα αναζητήσεων (filtering).<br />
Η προστασία της βάσης δεδομένων είναι ιδιαίτερα σημαντική, εφόσον φιλοξενεί το κεντρικό αποθετηριο<br />
δεδομένων του συστήματος. Τα κυριότερα μέτρα για την ασφάλεια της βάσης δεδομένων είναι:<br />
• Δυνατότητα ενεργοποίησης καταγραφής (logging) σε επίπεδο βάσης δεδομένων. Τα αρχεία καταγραφής<br />
(logs) μπορούν να διατηρούνται σε αρχείο του λειτουργικού συστήματος, αντί του προκαθορισμένου<br />
αρχείου (δηλαδή του system tablespace της βάσης δεδομένων), επιτρέποντας έτσι<br />
την πρόσβαση μόνο σε εξουσιοδοτημένα πρόσωπα. Με βάση τα στοιχεία που συλλέχθησαν,<br />
λόγω αδυναμίας του αναδόχου στην επεξεργασία των αρχείων καταγραφής, δεν γίνεται πλήρης<br />
αξιοποίηση για ελέγχους ασφάλειας.<br />
• H online σύνδεση των εφαρμογών με τη βάση δεδομένων πραγματοποιείται αδιαφανώς για της<br />
χρήστες μέσω του συστήματος single sign on.<br />
• Εφαρμογές άλλων φορέων δεν συνδέονται απευθείας στη βάση αλλά στη καλύτερη περίπτωση<br />
στον application server.<br />
• Κρυπτογράφηση ευαίσθητων δεδομένων. Υπάρχει δυνατότητα για επιλεκτική κρυπτογράφηση<br />
ευαίσθητων δεδομένων όταν αυτά αποθηκεύονται στη βάση, με τη χρήση αλγορίθμου 3-DES (με<br />
μήκος κλειδιού 168-bit), η οποία της δεν έχει ενεργοποιηθεί.<br />
• Προστασία από επιθέσεις SQL Injection. Για την αποφυγή των παραπάνω κινδύνων χρησιμοποιούνται<br />
οι γνωστές τεχνικές (ενδεικτικά αναφέρονται filter-out single quote, double quote, slash,<br />
back slash, semi colon, extended character της NULL, carry return, new line, για αριθμητικές τιμές<br />
μετατροπή σε integer ή χρήση του ISNUMERIC, κλπ).<br />
Άλλα μέτρα ασφάλειας τα οποία εφαρμόζονται είναι:<br />
• Προστασία από επιθέσεις code injection και cross-site scripting. Στην περίπτωση που ένα μέρος<br />
της πύλης, επιτρέπει σε μη εξουσιοδοτημένους χρήστες να στέλνουν στοιχεία τα οποία στη συνέχεια<br />
εμφανίζονται αυτόματα σε μια σελίδα (π.χ. σε ένα forum) τότε το σύστημα μπορεί να είναι<br />
ευάλωτο σε επιθέσεις code injection ή cross-site scripting. Για την αποφυγή των παραπάνω κινδύνων,<br />
γίνεται έλεγχος σe κρίσιμα πεδία της τα query strings, URLs, posted data, cookies).<br />
• Περιορίζεται το μήκος και το περιεχόμενο των posted data, πραγματοποιείται έλεγχος του HTTP<br />
Referrer, χρησιμοποιείται η μέθοδος HTTP POST αντί HTTP GET κλπ.<br />
Αν και στην αρχική μελέτη υπήρχε πρόβλεψη για την απόκρυψη εμφάνισης των κανονικών μηνυμάτων<br />
σφαλμάτων (default error message ) για συστήματα που είναι προσπελάσιμα από διαδικτυακό<br />
περιβάλλον (web servers, database servers), μέχρι στιγμής δεν έχει υλοποιηθεί πλήρως.<br />
Όσον αφορά την διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή<br />
μετά φυσικές καταστροφές, έχει συνταχθεί και βρίσκεται σε ισχύ Σχέδιο Αποκατάστασης Κατάστροφών<br />
(DRP). Της, αν και το Σχέδιο Αποκατάστασης προβλέπει δοκιμές σωστής λειτουργίας, δεν έ-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
214
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
χουν πραγματοποιηθεί μέχρι στιγμής δοκιμές και συνεπώς δεν έχουν ληφθεί τα απαραίτητα διορθωτικά<br />
μέτρα, ούτε το Σχέδιο έχει επικαιροποιηθεί κατάλληλα.<br />
Όπως έχει ήδη αναφερθεί, με βάση το Σχέδιο Αποκατάστασης Καταστροφών έχει συσταθεί εναλλακτικό<br />
κέντρο λειτουργίας (Disaster Recovery site – failover site), το οποίο βρίσκεται στο Κορωπί Αττικής.<br />
Το κέντρο εναλλακτικής λειτουργίας είναι τύπου hot site. Θεωρητικά έχει αντίστοιχες δυνατοτητες<br />
με την κανονική εγκατάσταση, αν και η διαστασιοποίηση του συστήματος είναι μικρότερη. Για<br />
τα δεδομένα του ΟΠΣ υπάρχει συγχρονισμός σε πραγματικό χρόνο της βάσης δεδομένων του εναλλακτικού<br />
κέντρου με τη βάση δεδομένων του ΟΠΣ.<br />
Η σύνδεση του ΟΠΣ με το ΣΥΖΕΥΞΙΣ πραγματοποιείται με απλή γραμμή των 8Mbit, αντί για πραγματικά<br />
διπλή γραμμή που προβλέπεται. Σε περίπτωση που δημιουργηθεί πρόβλημα στο δίκτυο του<br />
ΣΥΖΕΥΞΙΣ, τότε αυτό θα επηρεάσει τα διασυνδεδεμένα ΚΕΠ στη συγκεκριμένη γεωγραφική περιοχή<br />
όπου παρουσιάστηκε το πρόβλημα στο δίκτυο ΣΥΖΕΥΞΙΣ.<br />
Τέλος, επειδή η διασύνδεση με τα περισσότερα διασυνδεδεμένα συστήματα είναι βαθμού off-line, οι<br />
περισσότερες υπηρεσίες μπορούν να πραγματοποιηθούν σε περίπτωση ανάγκης και χωρίς τη χρήση<br />
του ΟΠΣ, με της αντίστοιχες φυσικά επιπτώσεις της χρόνους περαίωσης των εργασιών.<br />
5.5.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής<br />
Η πληροφοριακή υποδομή του ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών υποστηρίζει πολλές από<br />
τις υπηρεσίες οι οποίες περιλαμβάνονται στις της 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης. Ενδεικτικά,<br />
αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται από το ΟΠΣ των ΚΕΠ και<br />
οι οποίες περιλαμβάνονται της βασικές υπηρεσίες της Δημόσιας Διοίκησης:<br />
Υπηρεσίες της Πολίτες<br />
• Αιτήσεις και παραλαβή διαφόρων πιστοποιητικών (γέννησης, γάμου κτλ)<br />
• Φόρος εισοδήματος (βεβαιώσεις φορολογικής ενημερότητας κτλ),<br />
• Εισφορές κοινωνικής ασφάλισης (βεβαιώσεις ενημερότητας κτλ)<br />
Υπηρεσίες της Επιχειρήσεις<br />
• Εισφορές κοινωνικής ασφάλισης για εργαζόμενους (αιτήσεις και παραλαβή)<br />
• Φόρος επιχειρήσεων (δήλωση και ειδοποίηση εκκαθάρισης)<br />
• ΦΠΑ (δήλωση και ειδοποίηση εκκαθάρισης)<br />
Επιπλέον, για την παροχή των υπηρεσιών το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών χρησιμοποιεί<br />
διάφορα δίκτυα της το δίκτυο ΑΡΙΑΔΝΗ ΙΙ, διασυνδέσεις VPN αλλά και διασυνδέεται με της υποδομές<br />
της είναι το ΣΥΖΕΥΞΙΣ και το δίκτυο ΕΡΜΗΣ. Συνεπώς, το ΟΠΣ μπορεί να χαρακτηριστεί ως<br />
υποδομή της Δημόσιας Διοίκησης.<br />
5.5.7 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής<br />
Για την αξιολόγηση του βαθμού κρισιμότητας του ΟΠΣ των ΚΕΠ, εφαρμόζονται τα κριτήρια κρισιμότητας<br />
τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:<br />
• Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή<br />
ή μείωση της ποιότητας μιας υπηρεσίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
215
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της<br />
ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της.<br />
• Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.<br />
• Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική<br />
ή λογική εξάρτηση).<br />
• Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν<br />
αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την<br />
διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.<br />
• Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη<br />
του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.<br />
• Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσιας<br />
διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.<br />
• Προσωπική ασφάλεια: η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.<br />
• Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσωπικών<br />
ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας<br />
έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.<br />
• Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη<br />
του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών<br />
και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές.<br />
Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 31.<br />
Κριτήρια<br />
Αριθμός<br />
επηρεαζόμεν<br />
ων χρηστών<br />
Οικονομική<br />
Επίπτωση<br />
( € )<br />
Γεωγραφική<br />
εμβέλεια<br />
Αλληλεξάρτηση<br />
Ανάκαμψη<br />
(χρόνος, κόστος)<br />
Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής<br />
Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή<br />
>100,000<br />
10,000-<br />
100,00<br />
1,000-10,000 100-1,000 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ<br />
Διεθνής<br />
Καταλυτική ε-<br />
πίδραση σε υ-<br />
ποδομές/τομείς<br />
Υψηλό κόστος<br />
σε πολλούς τομείς,<br />
μακρύς<br />
χρόνος ανάκαμψης<br />
(μήνες – χρόνια)<br />
Εθνική<br />
Σημαντική<br />
επίδραση σε<br />
υποδομές/-<br />
τομείς<br />
Υψηλό κόστος,<br />
υψηλός<br />
απαιτουμενος<br />
χρόνος<br />
ανάκαμψης<br />
(βδομάδες –<br />
μήνες)<br />
Περιφερειακ<br />
ή<br />
Μέτρια επίδραση<br />
σε υ-<br />
ποδομές/τομείς<br />
Μέσο κόστος,<br />
σημαντικός<br />
χρόνος<br />
ανάκαμψης<br />
(μέρες –<br />
βδομάδες)<br />
Τοπική<br />
(πολλοί<br />
φορείς)<br />
Μικρή επίδραση<br />
σε υποδομές/τομείς<br />
Χαμηλό κό,<br />
μικρός απαιτούμενος<br />
χρόνος<br />
ανάκαμψης<br />
(ώρες –<br />
μέρες)<br />
Τοπική<br />
(λίγοι φορείς)<br />
Επίδραση σε<br />
μία υποδομή/-<br />
τομέα<br />
Αμελητέο κόστος,<br />
μικρός<br />
απαιτούμενος<br />
χρόνος ανάκαμψης<br />
(ώρες)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
216
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Αντίδραση<br />
της κοινής<br />
γνώμης<br />
Εφαρμογή<br />
πολιτικής και<br />
λειτουργία<br />
ΔΔ<br />
Προσωπική<br />
ασφάλεια<br />
Αποκάλυψη<br />
προσωπικών-<br />
/εμπιστευτικ<br />
ών<br />
δεδομένων<br />
Επιρροή στην<br />
άποψη του<br />
κοινού για<br />
της<br />
ΤΠΕ/ΠΕΥ<br />
Διεθνής<br />
αποδοκιμασία<br />
Σοβαρή παρεμπόδιση<br />
ή διακοπή<br />
της ανάπτυξης/εφαρμογής<br />
κυβερνητικών<br />
πολιτικών<br />
Απώλεια πολλών<br />
ανθρώπινων<br />
ζωών<br />
Αποκάλυψη<br />
απόρρητων<br />
κυβερνητικών<br />
δεδομένων<br />
Απαξίωση των<br />
ΤΠΕ/ΠΕΥ από<br />
το κοινωνικό<br />
σύνολο<br />
Περιορισμός<br />
κυβερνητικής<br />
αξιοπιστίας<br />
σε διεθνές<br />
επίπεδο<br />
Υποβάθμιση<br />
της διαπραγματευτικής<br />
και συναλλακτικής<br />
δυνατητας<br />
της κυβέρνησης<br />
Απώλεια<br />
ανθρώπινης<br />
ζωής<br />
Παραβίαση<br />
νομοθεσίας<br />
και σοβαρή<br />
ενόχληση<br />
πολλών<br />
προσώπων<br />
Αρνητικός<br />
επηρεασμός<br />
κοινωνικού<br />
συνόλου<br />
Μετριασμός<br />
κυβερνητικής<br />
αξιοπιστίας<br />
σε εθνικό<br />
επίπεδο<br />
Παρεμπόδιση<br />
της αποτελεσματικής<br />
ανάπτυξης/εφ<br />
αρμογής κυβερνητικών<br />
πολιτικών<br />
Σημαντικός<br />
τραυματισμό<br />
ς πολλών<br />
προσώπων<br />
Παραβίαση<br />
νομοθεσίας<br />
και σοβαρή<br />
ενόχληση της<br />
προσώπου<br />
Κλονισμός<br />
εμπιστοσύνη<br />
ς του κοινωνικού<br />
συνόλου<br />
Αρνητική<br />
δημοσιότητα<br />
κυβερνητικών<br />
οργανισμών/<br />
φορέων<br />
Υπονόμευση<br />
σωστής διαχείρισης<br />
ή λειτουργίας<br />
ΔΥ<br />
Μικροτραυματ<br />
ισμοί πολλών<br />
προσώπων<br />
Μικρή ενόχληση<br />
πολλών<br />
προσώπων<br />
Απογοήτευση<br />
επιμέρους<br />
ομάδων του<br />
πληθυσμού<br />
Αρνητική δημοσιότητα<br />
ε-<br />
νός κυβερνητικού<br />
οργανισμού/φορέα<br />
Ανεπαρκής<br />
λειτουργία<br />
μιας ΔΥ<br />
Μικροτραυματισμός<br />
της<br />
προσώπου<br />
Μικρή ενό -<br />
χληση ενός<br />
προσώπου<br />
Απογοήτευση<br />
μεμονωμένων<br />
πολιτών<br />
Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών<br />
Εφαρμόζοντας τα παραπάνω κριτήρια στο ΟΠΣ των ΚΕΠ προκύπτουν τα ακόλουθα στοιχεία:<br />
11. Αριθμός επηρεαζόμενων χρηστών. Με βάση τα ετήσια στατιστικά στοιχεία της χρήσης του συστηματος<br />
του έτους 2007, καθώς και τα μέχρι στιγμής στοιχεία από τη χρήση εντός του 2008,<br />
προκύπτει ότι ο μηνιαίος μέσος όρος χρηστών των υπηρεσιών του ΟΠΣ ανέρχεται σε 180.000<br />
χρήστες περίπου, ενώ σε ετήσια βάση ο αριθμός ανέρχεται σε 2.160.000 χρήστες περίπου.<br />
Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση τον αριθμό των χρηστών είναι Πολύ Υψηλή.<br />
12. Οικονομική Επίπτωση. Το ΟΠΣ περιλαμβάνει σε πιλοτική εφαρμογή υπηρεσία πληρωμών μεσω<br />
αυτόματων μηχανών. Επειδή η υπηρεσία βρίσκεται στην παρούσα φάση σε πιλοτική μορφή,<br />
εκτιμάται ότι η κρισιμότητα του ΟΠΣ ως της την άμεση οικονομική επίπτωση είναι Χαμηλή<br />
(από 100.000 μέχρι 1.000.000 €).<br />
13. Γεωγραφική Εμβέλεια. Το ΟΠΣ παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητα<br />
του ΟΠΣ με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή.<br />
14. Αλληλεξάρτηση. Το ΟΠΣ των ΚΕΠ εξαρτάται λογικά από διάφορα άλλα ΟΠΣ δημοσίων<br />
φορέων με τα οποία διασυνδέεται, αλλά και από δίκτυα της το ΣΥΖΕΥΞΙΣ, το ΑΡΙΑΔΝΗ ΙΙ<br />
και ο ΕΡΜΗΣ. Η παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, εκτιμάται ότι θα<br />
είχε μέτρια επίδραση σε της υποδομές (π.χ επίπτωση στην αξιοπιστία των διασυνδεδεμένων<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
217
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
LDAP servers του ΣΥΖΕΥΞΙΣ, ΕΡΜΗΣ κτλ). Συνεπώς η κρισιμότητα του ΟΠΣ με βάση το<br />
βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως Μέτρια.<br />
15. Ανάκαμψη. Εφόσον το ΟΠΣ λειτουργεί ως ένα συμπληρωματικό μέσο για την παροχή υπηρεσιών<br />
από της δημόσιους φορείς και εφόσον υπάρχουν εναλλακτικοί δίαυλοι για την παροχή<br />
των υπηρεσιών (π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα), εκτιμάται ότι θα υπάρχουν<br />
σημαντικές επιπτώσεις μετά από παρατεταμένη μη διαθεσιμότητα. Συνεπώς, η κρισιμότητα<br />
του ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσιών του χαρακτηρίζεται ως Χαμηλή.<br />
16. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος του ΟΠΣ και τον αριθμό των χρηστών,<br />
εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ θα επηρέαζε την<br />
κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το<br />
βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως Μέτρια.<br />
17. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Η επίδραση στη λειτουργία κυβερνητικών<br />
φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβίαση<br />
κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, δεν εκτιμάται ως ιδιαίτερα σημαντική. Συνεπώς,<br />
η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Χαμηλή.<br />
18. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολιτών<br />
και συνεπώς η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ<br />
Χαμηλή.<br />
19. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπιστευτικότητας<br />
των διακινούμενων ή διατηρούμενων δεδομένων του ΟΠΣ, και με δεδομένο το<br />
μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής<br />
νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Μάλιστα, εφόσον οι περισσότερες<br />
διασυνδέσεις με άλλα συστήματα είναι τύπου off-line, τα πιστοποιητικά αποθηκεύονται στο α-<br />
ποθετήριο του συστήματος, αυξάνοντας με αυτό τον τρόπο της πιθανές επιπτώσεις. Συνεπώς, η<br />
κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή.<br />
20. Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ των ΚΕΠ απότελεί<br />
βασικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και επικοινωνιών<br />
της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω της<br />
χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό<br />
επηρεασμό του κοινωνικού συνόλου. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το κριτήριο<br />
αυτό χαρακτηρίζεται ως Υψηλή.<br />
5.5.8 Συμπεράσματα<br />
Το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών αποτελεί ένα σύστημα το οποίο παρέχει ένα σημαντικό<br />
αριθμό υπηρεσιών της της πολίτες και της επιχειρήσεις. Υποστηρίζει την περαίωση της μεγάλου<br />
πλήθους υπηρεσιών (πλέον των 1000) από μέσα από διάφορα κανάλια επικοινωνίας, της είναι<br />
η δικτυακή πύλη, η τηλεφωνική πύλη (call center) αλλά και η φυσική παρουσία των πολιτών στα<br />
ίδια τα ΚΕΠ. Το ΟΠΣ υποστηρίζει αρκετές υπηρεσίες της δημόσιας διοίκησης και αποτελεί υποδομή<br />
της μελέτη.<br />
Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, γενικά βρίσκονται σε χαμηλό<br />
επίπεδο εξέλιξης, Οι περισσότερες υπηρεσίες βρίσκονται στο στάδιο 2 (αλληλεπίδραση), λιγότερες<br />
βρίσκονται στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ ακόμα ελάχιστες βρίσκονται στο στάδιο<br />
4 (συναλλαγής) σε πιλοτική λειτουργία και μόνο με φυσική παρουσία στα ΚΕΠ. Η φυσική παρουσία<br />
στα ΚΕΠ απαιτείται και για της περισσότερες από της προσφερόμενες υπηρεσίες. Παρόλα αυτά,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
218
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
το ΟΠΣ διασυνδέεται σε μικρότερο ή μεγαλύτερο βαθμό με μεγάλο αριθμό άλλων ΟΠΣ δημόσιων<br />
φορέων, ενώ υποστηρίζεται και από της υποδομές της αυτή του ΣΥΖΕΥΞΙΣ.<br />
Στην παρούσα φάση, το ΟΠΣ αξιολογείται ως υποδομή με Υψηλή κρισιμότητα, κυρίως λόγω του<br />
μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής του γεωγραφικής έκτασης, αλλά και<br />
του γεγονότος ότι επεξεργάζεται εμπιστευτικά/προσωπικά δεδομένα μεγάλου αριθμού χρηστών α-<br />
πό της διαφορετικές πηγές.<br />
Όσον αφορά την κρισιμότητα της μη διαθεσιμότητας των υπηρεσιών που υποστηρίζει δεν αξιολογείται<br />
ως ιδιαίτερα σημαντική, κυρίως διότι το ΟΠΣ λειτουργεί ως υποστηρικτικό κανάλι επικοινωνίας<br />
και συνεπώς, η μη διαθεσιμότητά του θα προκαλέσει καθυστέρηση και δυσκολίες στην παροχή<br />
υπηρεσιών αλλά όχι πλήρη διακοπή. Είναι προφανές ότι όσο αυξάνει το επίπεδο εξέλιξης των<br />
προσφερόμενων υπηρεσιών του ΟΠΣ, αλλά και ο βαθμός και ο τύπος διασύνδεσης με άλλα συστηματα,<br />
τόσο θα αυξάνει και η κρισιμότητα του ίδιου του συστήματος.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
219
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6<br />
Προτεινόμενο Οργανωτικό Σχήμα<br />
και Σχέδιο Δράσης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
220
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6. Προτεινόμενο Οργανωτικό Σχήμα<br />
6.1 Περιγραφή<br />
Στόχος του παρόντος κεφαλαίου είναι να προδιαγράψει ένα αποτελεσματικό οργανωτικό σχήμα,<br />
τόσο σε στρατηγικό, όσο και σε επιτελικό επίπεδο, το οποίο θα αποσκοπεί στην προστασία των<br />
κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.<br />
Τα βασικά χαρακτηριστικά στα οποία στοχεύει το προτεινόμενο οργανωτικό σχήμα είναι τα ακόλουθα:<br />
• Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες.<br />
• Αυτονομία, έτσι ώστε να μπορεί να εκτελεί γρήγορα και αποτελεσματικά το έργο του.<br />
• Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ.<br />
• Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο α-<br />
νοικτός, διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται,<br />
εν τέλει, η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων<br />
φορέων και υπηρεσιών.<br />
Υιοθετήθηκε η προσέγγιση “Critical <strong>Information</strong> and Communication Infrastructure Protection”<br />
(CICIP), γιατί η εστίαση της Ο.Ε. ήταν σε ΠΕΥ της ΔΔ και όχι σε θέματα που αφορούν εθνική ά-<br />
μυνα ή πολιτική προστασία. Εκτιμήθηκε ότι το προτεινόμενο σχήμα δεν θα ήταν σκόπιμο να υπαχθεί<br />
σε υπάρχουσες δομές και υπηρεσίες με αρμοδιότητα επί θεμάτων εθνικής ασφάλειας και προστασίας<br />
διαβαθμισμένης πληροφορίας. Εκτιμήθηκε, επίσης, ότι το σχήμα δεν θα ήταν ευέλικτο αν<br />
υπαγόταν σε υπηρεσίες γενικότερης προστασίας των υποδομών από φυσικές ή άλλες καταστροφές<br />
(σύμφωνα με την προσέγγιση all hazards).<br />
Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές<br />
άλλων ευρωπαϊκών χωρών (βλ. Ενότητα 3.4) και επικεντρώνεται κυρίως σε θέματα soft criticality<br />
των ΠΕΥ και ειδικότερα όσων αφορούν και σχετίζονται με τη ΔΔ.<br />
Το πρώτο βήμα για το σχεδιασμό μίας αποδοτικής και αποτελεσματικής οργανωσιακής μονάδας<br />
(organizational unit) CICIP είναι η οργάνωσή του ως ενός μοντέλου “Τεσσάρων Πυλώνων CICIP”:<br />
(α) Πρόληψη και Προειδοποίηση (Prevention and Early Warning), (β) Ανίχνευση (Detection), (γ)<br />
Αντίδραση (Reaction), (δ) Διαχείριση Κρίσεων (Crisis Management) [Sut-07]. Πιο συγκεκριμένα,<br />
μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CICIP (CICIP organisational<br />
unit) περιλαμβάνει, ιδανικά, τους εξής εταίρους [Sut-07]:<br />
• Μια Κυβερνητική Υπηρεσία (Governmental Agency): Παρέχει στρατηγικές κατευθύνσεις, ηγείται<br />
της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει.<br />
• Ένα Κέντρο Ανάλυσης (Analysis Center): Διαθέτει διασυνδέσεις με την κοινότητα που σχετίζεται<br />
με την ανάλυση πληροφοριών (intelligence community).<br />
• Ένα Κέντρο Αριστείας (Technical Center of Expertise): Συχνά αποτελείται από μέλη του προσωπικού<br />
ενός εθνικού CSIRT.<br />
6.1.1 Μορφές οργάνωσης<br />
Για τις σχεδιαστικές επιλογές του CICIP οργανωτικού σχήματος ελήφθησαν υπόψη οι εξής πηγές:<br />
• Προσεγγίσεις άλλων χωρών στο θέμα αυτό (βλ. Κεφάλαιο 2)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
221
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Προτάσεις του [Sut-07] (βλ. Κεφάλαιο 3.5.1)<br />
• Βέλτιστες Πρακτικές σε Οργάνωτικές δομές CSIRT από τον οργανισμό [ENISA-07].<br />
• Απόψεις και ιδέες των συμμετεχόντων στη διαβούλευση (βλ. Κεφάλαιο 7).<br />
Καθώς το σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες με πολλαπλούς<br />
φορείς της Δημόσιας Διοίκησης (και όχι μόνο), εξετάστηκαν οι παρακάτω εναλλακτικές<br />
δομικές μορφές του:<br />
α) Σχήμα χωρίς αυστηρή ιεραρχική δομή, που προσομοιάζει με το ανεξάρτητο επιχειρηματικό μοντέλο<br />
(independent business model) για την οργάνωση ενός CSIRT (Computer <strong>Security</strong> Incident<br />
Response Team). Το σχήμα αυτό θα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό,<br />
με δικό του προσωπικό και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαιου).<br />
Ο οργανισμός δεν είναι αναγκαίο να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να<br />
επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών στο ρόλο τους. Αντίθετα,<br />
πρέπει να διαθέτει διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα<br />
της αρμοδιότητάς τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτόνομο χαρακτήρα<br />
του σχήματος.<br />
β) Δημιουργία νέας Γενικής Γραμματείας, με δυνατότητα άμεσης υπαγωγής στο Γραφείο του<br />
Πρωθυπουργού. Η πρακτική αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει<br />
και λειτουργεί με επιτυχία η Νέα Ζηλανδία (βλ. Κεφάλαιο 2). Η πρόταση αυτή επικεντρώνεται<br />
κυρίως στον επιτελικό χαρακτήρα του σχήματος.<br />
γ) Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης<br />
(Σώμα Επιθεωρητών Δημόσιας Διοίκησης), η οποία θα αναφέρει τα αποτελέσματα των εργασιών<br />
της στο Υπουργικό Συμβούλιο. Αντίστοιχης εμβέλειας σενάριο είναι, αντί της ενσωμάτωσης<br />
στη Γενική Γραμματεία Επιθεωρητών, η δημιουργία ενός Σώματος για την προστασία<br />
κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετείται από<br />
την Αυστραλία, όπου έχει δημιουργηθεί η οργανωτική δομή με την ονομασία TISN (βλ. Κεφάλαιο<br />
2). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό χαρακτήρα του σχήματος.<br />
δ) Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κάποια<br />
υφιστάμενη Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη της οργανωτικής<br />
δομής στο:<br />
• Υπουργείο Εσωτερικών (Γ. Γ. Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης).<br />
• Υπουργείο Μεταφορών και Επικοινωνιών.<br />
• Υπουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων).<br />
Η πρακτική αυτή είναι η πιο συνηθισμένη διεθνώς. Παράδειγμα χώρας που ακολουθεί αυτή την<br />
προσέγγιση είναι η Γερμανία, όπου στο αντίστοιχο Υπουργείο Εσωτερικών της (BMI) υπάρχουν<br />
σχετικές δομές συνεργασίας, ενώ έχει ιδρυθεί και το BSI (βλ. Κεφάλαιο 2). Η πρόταση αυτή επικεντρώνεται<br />
κυρίως στον εκτελεστικό/διαχειριστικό χαρακτήρα του σχήματος.<br />
Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού<br />
σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό,<br />
παρόλο που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών 60 , τελικά εκτιμήθηκε<br />
60 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρεσία<br />
της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, εν-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
222
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ότι δεν ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές. Έτσι, στο παραδοτέο<br />
γίνεται χρήση της συμβολικής ονομασίας “Φ”.<br />
6.1.2 Οργανωτικό Σχήμα<br />
Ο ENISA προτείνει κατ’ ελάχιστον τους εξής ρόλους κατά την οργάνωση ενός CSIRT [ENISA-<br />
07]: Γενική Διεύθυνση, Λειτουργικές Τεχνικές Ομάδες (Διευθυντής, Τεχνικό και Ερευνητικό Προσωπικό),<br />
Εξωτερικούς Συμβούλους (προσλαμβάνονται όταν παραστεί ανάγκη), Γραμματεία, Λογιστηήριο,<br />
Σύμβουλο Επικοινωνιών και Δημοσίων Σχέσεων και Νομικό Σύμβουλο.<br />
Αντιλαμβάνεται κανείς ότι το οργανωτικό σχήμα CICIP θα πρέπει να είναι ευρύτερο από ένα CSI-<br />
RT [Sut-07]. Συγκεντρώνει, βεβαίως, την τεχνογνωσία που απαιτείται από ένα CSIRT, αλλά με έμφαση<br />
στην ευρύτερη έννοια της προστασίας κρίσιμών υποδομών. Επιπλέον, απαιτείται η στενή<br />
συνέργεια με φορείς της Δημόσιας Διοίκησης, ενώ το σχήμα αναλαμβάνει και επιπλέον ελεγκτικόεποπτικό<br />
ρόλο, που διαφοροποιείται από το συμβουλευτικό ρόλο που έχει συνήθως ένα CSIRT.<br />
Έχοντας υπόψη τις παραπάνω εμπειρίες, τις ελληνικές ιδιαιτερότητες, τη μορφολογία της ΔΔ, καθώς<br />
και τους σχετικούς λειτουργικούς και οικονομικούς περιορισμούς, προτείνεται το σχήμα που<br />
απεικονίζεται στο Σχήμα 37.<br />
Με βάση την πρόταση, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανήκει στη Συντονιστική Ε-<br />
πιτροπή, η οποία ηγείται του όλου σχήματος. Ελεγκτικό-Εποπτικό ρόλο αναλαμβάνει η ομάδα Εποπτείας,<br />
ενώ την τεχνογνωσία την παρέχει η ομάδα Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται<br />
σε στενή συνεργασία με ερευνητικούς φορείς, ενδεχομένως και με συγκεκριμένο Ερευνητικό Ινστιτούτο<br />
που θα ιδρυθεί για αυτό το σκοπό. Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομάδες<br />
Συλλογής Πληροφοριών, Ενημέρωσης και Αντιμετώπισης Περιστατικών. Κέντρο Ανάλυσης δεν<br />
προβλέπεται στην πρόταση, με την έννοια που διατυπώθηκε παραπάνω [Sut-07], αλλά μόνο ως δίαυλος<br />
επικοινωνίας (liaison) με φορείς εφαρμογής του νόμου (law enforcement agencies).<br />
Το σχήμα υποστηρίζεται από το Γραφείο Δημοσίων Σχέσεων για την προβολή του έργου του και<br />
την επικοινωνία με τους συνεργαζόμενους φορείς. Σε περιπτώσεις κρίσεων, συγκροτείται Ομάδα<br />
Αντιμετώπισης Κρίσεων, η οποία έχει ιδιαίτερες αρμοδιότητες και ρόλο κατά την εκδήλωση περιστατικών<br />
που υποδηλώνουν ενδεχόμενη κρίση. Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά<br />
μια Αγορά απόψεων και προτάσεων (Αgora), στην οποία συμμετέχουν εκπρόσωποι φορέων και ενδιαφερόμενων<br />
ή/και εμπλεκόμενων ομάδων (πχ. Μη Κυβερνητικών Οργανώσεων), που εκφράζουν<br />
απόψεις των οργάνων τους.<br />
δεικτικά, οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα<br />
ανήκουν, επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
223
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα<br />
Οι διασυνδέσεις με άλλους φορείς απεικονίζονται στο Σχήμα 37 και αναλύονται, ανά ομάδα, στη<br />
συνέχεια. Σε αυτές τις διασυνδέσεις-επικοινωνίες η συμβολή του Γραφείου Δημοσίων Σχέσεων εκτιμάται<br />
ότι θα έχει αποφασιστικό χαρακτήρα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
224
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 38: Διασύνδεση με άλλους φορείς 61<br />
Το όνομα του νέου φορέα θα μπορούσε να αλιεύσει όρους από την εξής λίστα επιλογών (με βάση<br />
και την τελική του ένταξη - ή όχι - σε συγκεκριμένη λειτουργούσα δημόσια υπηρεσία):<br />
• Κέντρο ή Ινστιτούτο ή Οργανισμός (για να αναδείξει τη δομή του)<br />
• Εθνικό (για να αναδείξει την εμβέλειά του)<br />
• Εποπτικό ή Ελεγκτικό ή Συντονιστικό (για να αναδείξει τη στόχευσή του)<br />
61 Οι τρεις ομάδες που σημειώνονται με μπλε χρώμα εκτιμάται ότι θάταν σκόπιμο να συμπτυχθούν σε μία, ειδικά<br />
κατά την πρώτη φάση λειτουργίας του σχήματος, κυρίως για λόγους ευελιξίας και αποτελεσματικότητας.<br />
Αν και όταν, κατά την πορεία λειτουργίας του σχήματος, απαιτηθούν περισσότερο σύνθετες και αυτόνομες<br />
λειτουργίες, τότε οι ομάδα αυτή μπορούν να κατανεμηθεί σε τρεις, όπως προβλέπει η πρόταση.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
225
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Προστασία ή Ασφάλεια (για να αναδείξει την κεντρική επιδίωξή του)<br />
• Πληροφοριακά και Επικοινωνιακά Συστήματα (για να αναδείξει το επιμέρους αντικείμενο<br />
της δράσης του)<br />
• Κρίσιμες Υποδομές της ΔΔ (για να αναδείξει το κεντρικό αντικείμενο της δράσης του)<br />
6.2 Επιμέρους ομάδες<br />
Στη συνέχεια ακολουθεί περιγραφή κάθε ομάδας-ρόλου του οργανωτικού σχήματος. Ειδικότερα, α-<br />
ναλύονται ο ρόλος κάθε ομάδας, οι αρμοδιότητες, ο μορφότυπος των προσώπων που τη στελεχώνουν,<br />
η ιεραρχική θέση καθενός στο οργανωτικό σχήμα, καθώς και οι διασυνδέσεις με άλλες ομάδες<br />
ή/και τρίτους.<br />
6.2.1 Συντονιστική Επιτροπή<br />
6.2.1.1 Στόχοι – ρόλος<br />
Στόχος της Συντονιστικής Επιτροπής είναι ο συνολικός συντονισμός του Οργανωτικού Σχήματος<br />
προστασίας κρίσιμων υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της Συντονιστικής επιτροπής<br />
είναι κυρίως επιτελικός και αφορά στη λήψη αποφάσεων στρατηγικού χαρακτήρα, σχετικά με την<br />
οργάνωση και το συντονισμό του σχήματος.<br />
6.2.1.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της Συντονιστικής Επιτροπής είναι οι ακόλουθες:<br />
I. Καθορίζει το πλαίσιο και τη στρατηγική για την προστασία των κρίσιμων υποδομών της<br />
Δημόσιας Διοίκησης. Στο πλαίσιο αυτό εγκρίνει, μετά από εισήγηση, θέματα εκτελεστικού<br />
χαρακτήρα όπως:<br />
i) Εγκρίνει τα κριτήρια για τον καθορισμό των κρίσιμων πληροφοριακών και επικοινωνιακών<br />
υποδομών της Δημόσιας Διοίκησης.<br />
ii) Εγκρίνει, σε υψηλό επίπεδο, τα μέτρα προστασίας των κρίσιμων υποδομών τα οποία<br />
πρέπει να υλοποιηθούν.<br />
iii) Εγκρίνει την ταξινόμηση/καθορισμό προτεραιοτήτων των προς αντιμετώπιση πιθανών<br />
κινδύνων.<br />
II. Αναλαμβάνει την οργάνωση και το συντονισμό του συνολικού σχήματος.<br />
i) Συντονίζει τις δράσεις όλων των εμπλεκομένων φορέων.<br />
ii) Αποφασίζει για την ενεργοποίηση φορέων/ ομάδων σε ειδικές περιπτώσεις (όπως για<br />
παράδειγμα για την ενεργοποίηση της ομάδας Διαχείρισης Κρίσεων).<br />
III. Είναι υπεύθυνη για τον έλεγχο και την αναθεώρηση του στρατηγικού πλαισίου.<br />
i) Ελέγχει και αναθεωρεί εφόσον κρίνεται σκόπιμο τον στρατηγικό σχεδιασμό.<br />
6.2.1.3 Μορφότυπος μελών<br />
Η Συντονιστική Επιτροπή:<br />
I. Αποτελείται από υψηλόβαθμα στελέχη της ΔΔ με εκτενή και σημαντική εμπειρία σε σχετικά<br />
ζητήματα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
226
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
II. Αποτελείται από μέλη που προέρχονται από ποικιλία οργανισμών και διαθέτουν ποικίλο ε-<br />
πιστημονικό υπόβαθρο (τεχνικό και διοικητικό).<br />
6.2.1.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Αποτελεί την κορυφή της ιεραρχίας του οργανωτικού σχήματος.<br />
II. Λαμβάνει τεχνικές συμβουλές και αιτιολογημένες εισηγήσεις από την Ομάδα Συμβούλων -<br />
Εμπειρογνωμόνων.<br />
III. Λαμβάνει πληροφόρηση και εισηγήσεις από όλες τις Ομάδες (συλλογής πληροφοριών, ε-<br />
νημέρωσης και πρόληψης, αντιμετώπισης περιστατικών και διερεύνησης περιστατικών).<br />
IV. Δίνει εντολές και κατευθύνσεις σε όλες τις ομάδες.<br />
V. Δίνει εντολές για την ενεργοποίηση ομάδων όπως η ομάδα διαχείρισης κρίσεων και διερεύνησης<br />
περιστατικών.<br />
VI. Το έργο της υποστηρίζεται από νομικό σύμβουλο, γραμματεία και γραφείο δημοσίων σχέσεων.<br />
6.2.1.5 Διασυνδέσεις με τρίτους φορείς<br />
Η Συντονιστική Επιτροπή διατηρεί:<br />
I. Συνδέσμους με άλλα αντίστοιχα οργανωτικά σχήματα σε αντίστοιχο επίπεδο.<br />
II. Συνδέσμους με τον ιδιωτικό τομέα.<br />
6.2.2 Ομάδα Ελέγχου<br />
6.2.2.1 Στόχοι – ρόλος<br />
Ο βασικός ρόλος της Ομάδας Ελέγχου είναι να ελέγξει τη συμμόρφωση των οργανισμών και των<br />
πληροφοριακών συστημάτων με τους κανόνες που θέτει η Συντονιστική Επιτροπή.<br />
6.2.2.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της Ομάδας Ελέγχου είναι οι ακόλουθες:<br />
I. Εξετάζει τη συμμόρφωση των οργανισμών που διαχειρίζονται κρίσιμες πληροφοριακές και<br />
επικοινωνιακές υποδομές, ως προς τη λήψη και εφαρμογή των μέτρων ασφάλειας που έ-<br />
χουν εγκριθεί από την Συντονιστική Επιτροπή. Η σύνταξη πολιτικής ασφάλειας και σχεδίου<br />
ανάκαμψης από καταστροφή (καθώς και τα αποτελέσματα των δοκιμών) κρίνεται ως υ-<br />
ποχρεωτική.<br />
II. Διεξάγει ελέγχους σε πληροφοριακά και επικοινωνιακά συστήματα κρίσιμων υποδομών.<br />
III. Λειτουργεί ως σημείο συλλογής και αποθήκευσης εγγράφων σχετικών με την ασφάλεια των<br />
ελεγχόμενων φορέων (security policy repository).<br />
i) Συγκεντρώνει έγγραφα ασφάλειας όπως πολιτικές ασφάλειας και σχέδια συνέχισης<br />
λειτουργίας, για όλους τους οργανισμούς ΔΔ οι οποίοι διαχειρίζονται κρίσιμα συστήματα<br />
και για τους οποίους δεν υπάρχει άλλος ελεγκτικός φορέας με αντίστοιχες αρμοδιότητες.<br />
ii) Διαθέτει πρόσβαση σε σημεία συλλογής σχετικών εγγράφων ασφάλειας (repositories)<br />
άλλων Δημόσιων Αρχών με σκοπό τη διευκόλυνση των ελέγχων συμμόρφωσης, σε πε-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
227
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ρίπτωση που για ορισμένους ελεγχόμενους φορείς της Δημόσιας Διοίκησης υφίσταται<br />
άλλος φορέας με ελεγκτική αρμοδιότητα,.<br />
IV. Ελέγχει τα έγγραφα ασφάλειας και προτείνει τρόπους βελτίωσης της ασφάλειας των κρίσιμων<br />
πληροφοριακών και επικοινωνιακών υποδομών.<br />
ii) Ελέγχει την εφαρμογή της πολιτικής ασφάλειας, των σχεδίων συνέχισης λειτουργίας<br />
και μέτρων ασφάλειας και προτείνει βελτιώσεις.<br />
iii) Σε περίπτωση που κάποιος ελεγχόμενος οργανισμός της Δημόσιας Διοίκησης έχει μεταβιβάσει<br />
(για παράδειγμα μέσω SLA) τις υποχρεώσεις του σχετικά με την ασφάλεια<br />
σε τρίτο φορέα, ιδιωτικό ή δημόσιο, τότε οι παραπάνω ελεγκτικές αρμοδιότητες ισχύουν<br />
και για τον τρίτο φορέα.<br />
V. Συντάσσει έκθεση ελέγχου συμμόρφωσης στην οποία καταγράφονται όλες οι πιθανές αποκλείσεις<br />
από τα απαιτούμενα μέτρα ασφάλειας, αλλά και οι μεταβολές/βελτιώσεις που καταγράφηκαν<br />
σε σχέση με προηγούμενους ελέγχους.<br />
6.2.2.3 Καταμερισμός αρμοδιοτήτων Ομάδας Ελέγχου<br />
Οι αρμοδιότητες της Ομάδας Ελέγχου μπορούν να καταμεριστούν με δύο εναλλακτικά σενάρια:<br />
• Συγκεντρωτικό μοντέλο: Η Ομάδα Ελέγχου έχει την ευθύνη για την πραγματοποίηση όλων των<br />
ελέγχων στους εποπτευόμενους φορείς της Δημόσιας Διοίκησης, τακτικούς ή/και έκτακτους,<br />
με σκοπό τον έλεγχο συμμόρφωσής τους. Επίσης, έχει τον έλεγχο της συλλογής, επεξεργασίας<br />
και αποθήκευσης των εγγράφων ασφάλειας των φορέων (πολιτικές ασφάλειας, σχέδια ανάκαμψης<br />
κλπ.).<br />
• Κατανεμημένο μοντέλο: Θεσμοθετούνται και λειτουργούν, ανά Υπουργείο, Γραφεία Ασφάλειας<br />
Συστημάτων, τα οποία αναλαμβάνουν τη διεξαγωγή των ελέγχων στα πληροφοριακά και επικοινωνιακά<br />
συστήματα των φορέων, την συλλογή και αποθήκευση των εγγράφων ασφάλειας<br />
και τη σύνταξη εκθέσεων ελέγχου συμμόρφωσης. Με δεδομένη τη δυσκολία λειτουργίας<br />
τέτοιων υπηρεσιών σε όλα τα υπουργεία, μπορεί αρχικά να λειτουργήσουν σε υπουργεία με<br />
μεγαλύτερη εμπειρία σε διαχείριση πληροφοριακών και επικοινωνιακών συστημάτων (π.χ. Υπ.<br />
Εσωτερικών, Υπουργείο Μεταφορών και Επικοινωνιών, Υπουργείο Οικονομίας κλπ.). Η Ομάδα<br />
Ελέγχου διατηρεί έναν κυρίως συντονιστικό ρόλο κατά τον οποίο συνδράμει τα Γραφεία Α-<br />
σφάλειας σε ζητήματα διεξαγωγής ελέγχων (μεθοδολογίες, ερωτηματολόγια, τεχνικές συμβουλές<br />
κλπ.), έχει πρόσβαση σε όλα τα στοιχεία των ελέγχων (repository) και λαμβάνει και αξιολογεί<br />
τα αποτελέσματα των ελέγχων. Επίσης, έχει την αρμοδιότητα να πραγματοποιεί συμπληρωματικά<br />
έκτακτους και δειγματοληπτικούς ελέγχους. Τέλος, μπορεί μεταβατικά να αναλάβει<br />
τη διεξαγωγή και των τακτικών ελέγχων, για τους φορείς εκείνους που ανήκουν σε υπουργεία<br />
τα οποία δεν υποστηρίζονται επί του παρόντος από τοπικό Γραφείο Ασφάλειας Συστημάτων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
228
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ομάδα<br />
Ελέγχου<br />
Γραφείο<br />
Ασφάλειας<br />
Συστημάτων<br />
ΥΠΟΥΡΓΕΙΑ<br />
… … …<br />
Γραφείο<br />
Ασφάλειας<br />
Συστημάτων<br />
6.2.2.4 Μορφότυπος μελών<br />
Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου<br />
I. Τα μέλη διαθέτουν σημαντική και εκτενή εμπειρία σε τεχνολογικά ζητήματα πληροφοριακών<br />
ή/και επικοινωνιακών συστημάτων και ταυτόχρονα εμπειρία διενέργειας τεχνικών ε-<br />
λέγχων.<br />
II. Έχει κάθετη οργάνωση ελέγχου και εποπτείας (ανά τομέα), με στελέχη τα οποία έχουν την<br />
κατάλληλη εξειδίκευση ανάλογα με τον τομέα (τομείς) ελέγχου.<br />
III. Τα μέλη της Ομάδας Ελέγχου αποτελούνται από:<br />
i) Ένα πυρήνα μόνιμων μελών.<br />
ii) Ένα ευρύτερο σύνολο εξωτερικών μελών, που ανήκουν σε άλλους συνεργαζόμενους<br />
φορείς ελέγχου (πχ. στελέχη Ανεξάρτητων Αρχών, άλλων Εποπτικών Φορέων κλπ.).<br />
6.2.2.5 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή.<br />
II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων.<br />
III. Λαμβάνει πληροφορίες σχετικές με τον ελεγκτικό της ρόλο από όλες τις ομάδες. και κυρίως<br />
από την Ομάδα Συλλογής Πληροφοριών-Περιστατικών, την Ομάδα Αντιμετώπισης<br />
Περιστατικών και την Ομάδα Διερεύνησης Περιστατικών.<br />
IV. Συνεργάζεται με τους ανά υπουργείο υπεύθυνους για την ασφάλεια των εποπτευόμενων<br />
φορέων της Δημόσιας Διοίκησης<br />
6.2.2.6 Διασυνδέσεις με τρίτους φορείς<br />
I. Συνεργάζεται με τις ανά Υπουργείο υπηρεσίες/γραφεία που ασχολούνται με θέματα ασφάλειας<br />
στις ΤΠΕ (πχ. Γραφεία Ασφάλειας ανά υπουργείο)<br />
II. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
229
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
III. Συνεργάζεται με άλλους θεσμοθετημένους Εποπτικούς Φορείς (πχ. Τράπεζα της Ελλάδος).<br />
6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων<br />
6.2.3.1 Στόχοι – ρόλος<br />
Ο βασικός ρόλος της Ομάδας Συμβούλων-Εμπειρογνωμόνων είναι να υποστηρίζει το έργο της Συντονιστικής<br />
Επιτροπής αλλά και όλου του σχήματος σε επιστημονικό και ερευνητικό επίπεδο. Είναι<br />
η βασική πηγή τεχνογνωσίας σε θέματα ασφάλειας και προστασίας κρίσιμων υποδομών.<br />
Ενδεχομένως να είναι σκόπιμο η ομάδα να συνεργάζεται στενά με άλλα ερευνητικά κέντρα που δραστηριοποιούνται<br />
στο χώρο ή να αποτελέσει ερευνητικό ινστιτούτο που θα πιστοποιεί τις γνώσεις των<br />
εκπαιδευμένων σε συγκεκριμένα θέματα ασφάλειας όπως: πολιτκές ασφάλειας/σχέδια ανάκαμψης<br />
καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνολογίες διαχείρισης ταυτότητας<br />
(έξυπνες κάρτες, βιομετρικά, ψηφιακά πιστοποιητικά), ασφαλείς αρχιτεκτονικές (πχ. SOA), κλπ.<br />
6.2.3.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες:<br />
I. Εκπόνηση Μελετών για λογαριασμό της Συντονιστικής Επιτροπής<br />
II. Καθορισμός Μέτρων Προστασίας, Προδιαγραφών ασφάλειας και Βέλτιστων πρακτικών για<br />
τη Δημόσια Διοίκηση.<br />
i) Παρέχει συμβουλές για καινούρια πρότυπα, πρακτικές, οδηγίες και εξελίξεις στη νομοθεσία.<br />
ii) Για το σκοπό αυτό συνεργάζεται με εμπειρογνώμονες από άλλους φορείς οι οποίοι έ-<br />
χουν αρμοδιότητες σε ζητήματα ασφάλειας πληροφοριακών και επικοινωνιακών υποδομών<br />
(πχ. Ανεξάρτητες Αρχές).<br />
III. Καθορισμός κριτηρίων εντοπισμού των Κρίσιμων ΥΠΕ<br />
IV. Αξιολόγηση της κρισιμότητας των Κρίσιμών ΥΠΕ<br />
V. Συντάσει Οδηγίες και Βέλτιστες Πρακτικές για τους φορείς της Δημόσιας Διοίκησης 62<br />
VI. Διαδραματίζει συμβουλευτικό ρόλο προς όλες τις άλλες ομάδες σε θέματα ασφάλειας και<br />
προστασίας Κρίσιμων Υποδομών<br />
6.2.3.3 Μορφότυπος μελών<br />
Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων σε θέματα ασφάλειας και προστασίας<br />
κρίσιμων υποδομών καθώς και από νομικούς επιστήμονες που εξειδικεύονται στην ασφάλεια ΤΠΕ.<br />
Κριτήρια για την επιλογή τους είναι:<br />
I. Τεχνογνωσία σε θέματα ασφάλειας.<br />
II. Τεχνογνωσία σε θέματα προστασίας κρίσιμων υποδομών.<br />
III. Ερευνητική εργασία ή/και επαρκής επαγγελματική εμπειρία στις αντίστοιχες γνωστικές περιοχές.<br />
62 Οι οδηγίες και πρακτικές αφορούν τις μη διαβαθμισμένες πληροφορίες.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
230
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6.2.3.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από τη Συντονιστική Επιτροπή.<br />
II. Συνεργάζεται στενά με την Ομάδα Ελέγχου.<br />
III. Ασκεί συμβουλευτικό ρόλο σε όλες τις ομάδες και κυρίως στην Ομάδα Αντιμετώπισης Περιστατικών<br />
και την Ομάδα Διερεύνησης Περιστατικών, όταν παραστεί ανάγκη.<br />
IV. Μέλη της συμμετέχουν στην Ομάδα Αντιμετώπισης Κρίσεων.<br />
6.2.3.5 Διασυνδέσεις με τρίτους φορείς<br />
V. Παρέχει εξειδικευμένες-εξατομικευμένες οδηγίες για συγκεκριμένα ζητήματα προστασίας<br />
κρίσιμων υποδομών προς φορείς της ΔΔ (μέσω της Συντονιστικής Επιτροπής).<br />
VI. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.) και ενημερώνεται<br />
για νέους κανονισμούς. Είναι σκόπιμη η στενή συνεργασία με τις αρχές αυτές σε επιστημονικό<br />
επίπεδο.<br />
VII. Συνεργάζεται με Ερευνητικά ινστιτούτα και Φορείς (πχ. ENISA κλπ.) και αντλεί γνώση για<br />
θέματα κρίσιμων υποδομών<br />
6.2.4 Ομάδα Διαχείρισης Κρίσεων<br />
6.2.4.1 Στόχοι – ρόλος<br />
Οι στόχοι της ομάδας διαχείρισης κρίσεων είναι (α) να διαχειριστεί αποτελεσματικά και έγκαιρα ο-<br />
ποιαδήποτε κρίση προκύψει η οποία σχετίζεται με την κρίσιμες ΠΕΥ ΔΔ., (β) να μειώσει τις επιπτώσεις<br />
και την έκταση μιας κρίσης και (γ) να αξιοποιεί εμπειρία από προγενέστερες κρίσεις η<br />
οποία διαχειρίστηκε ή/και από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία.<br />
6.2.4.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες:<br />
I. Ενεργοποιείται μέσω διαδικασίας από τη Συντονιστική Επιτροπή, όταν συνθήκες που ορίζουν<br />
«κρίση» πληρούνται.<br />
II. Είναι υπεύθυνη για το χειρισμό της κρίσης και γνωμοδοτεί μετά το πέρας της κρίσης στη<br />
Συντονιστική Επιτροπή.<br />
III. Συνεδριάζει σε τακτική βάση και προετοιμάζεται για ενδεχόμενη κρίση.<br />
IV. Συντάσσει και επανεξετάζει το σχέδιο αντιμετώπισης κρίσεων, το οποίο και υποβάλλει για<br />
ενημέρωση και έγκριση στη Συντονιστική Επιτροπή.<br />
V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στις<br />
προδιαγραφές για τη σύνταξη σχεδίων συνέχισης λειτουργίας.<br />
6.2.4.3 Προφίλ μελών<br />
I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται τόσο από διοικητικά<br />
στελέχη (Συντονιστική Επιτροπή) όσο και από άτομα με ευρεία τεχνογνωσία.<br />
II. Τα μέλη είναι καθορισμένα εκ των προτέρων (στατικά ή ανάλογα με το χαρακτήρα της κρίσης),<br />
ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών μελών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
231
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης κρίσεων, ώστε να<br />
μπορεί να αντιδράσουν κατάλληλα και έγκαιρα σε κάποια κρίση.<br />
6.2.4.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή σε μη περιόδους<br />
κρίσεων, αλλά σε περίοδο κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και<br />
αναλαμβάνει τη διαχείριση της κρίσεως.<br />
II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων.<br />
III. Λαμβάνει πληροφορίες από όλες τις ομάδες και κυρίως από την Ομάδα Συλλογής Πληροφοριών-Περιστατικών<br />
και την Ομάδα Αντιμετώπισης Περιστατικών, που ενδέχεται να εξελιχθούν<br />
σε κρίση.<br />
6.2.4.5 Διασυνδέσεις με τρίτους φορείς<br />
I. Συνεργάζεται με τους εμπλεκόμενους στην κρίση φορείς της ΔΔ.<br />
6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών<br />
6.2.5.1 Στόχοι – ρόλος<br />
Βασικός στόχος της ομάδας είναι η παροχή ενός μοναδικού σημείου επαφής με όλα τα ενδιαφερόμενα<br />
μέρη, στο οποίο γίνεται η αναφορά οποιουδήποτε περιστατικού ή πληροφορίας που αφορά στην<br />
ασφάλεια των κρίσιμων πληροφοριακών υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της ομάδας<br />
είναι να λειτουργεί ως ένα υψηλής διαθεσιμότητας κέντρο υποδοχής κλήσεων (call center) το οποίο<br />
συλλέγει τις εν λόγω πληροφορίες κάνει την πρωτογενή τους επεξεργασία και τις προωθεί στις αρμόδιες<br />
ομάδες.<br />
6.2.5.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της ομάδας συλλογής πληροφοριών-περιστατικών είναι οι ακόλουθες:<br />
I. Λειτουργεί ένα κέντρο λήψης κλήσεων υψηλής διαθεσιμότητας, σε βάση 24ώρου και 7 μερών<br />
τη βδομάδα.<br />
II. Δημοσιοποιεί όλους τους εναλλακτικούς τρόπους επικοινωνίας προς κάθε ενδιαφερόμενο.<br />
Είναι επιθυμητό να υπάρχουν τουλάχιστο τρεις εναλλακτικοί τρόποι επικοινωνίας, όπως τηλέφωνο,<br />
fax, email, web forms, sms.<br />
III. Συντηρεί ιστοσελίδα, μέσα στον ιστοχώρο της ευρύτερης ομάδας όπου δημοσιοποιεί τα<br />
στοιχεία επικοινωνίας<br />
IV. Συγκεντρώνει, κατηγοριοποιεί και κάνει την πρωτογενή επεξεργασία των κλήσεων που<br />
λαμβάνει. Καταχωρεί κάθε κλήση σε ειδικά σχεδιασμένη βάση δεδομένων.<br />
V. Προωθεί όλες ανεξαιρέτως τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης<br />
περιστατικών<br />
VI. Παράγει και δημοσιοποιεί συγκεντρωτικά στατιστικά κίνησης του call center, χωρίς αναφορά<br />
σε συγκεκριμένα περιστατικά.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
232
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6.2.5.3 Προφίλ μελών<br />
Η ομάδα αποτελείται από νέα άτομα πανεπιστημιακής ή τεχνολογικής εκπαίδευσης, χωρίς - κατανάγκην<br />
- μεγάλη εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστημάτων και με γνώσεις χειρισμού<br />
βάσεων δεδομένων και συντήρησης ιστοσελίδων. Κρίνεται απαραίτητη η παροχή ενός κύκλου<br />
εκπαίδευσης προς τα μέλη της ομάδας, ο οποίος θα περιλαμβάνει τη θεωρητική τεκμηρίωση της α-<br />
σφάλειας ΠΣ, καθώς και την εισαγωγή σε βασικά τεχνικά ζητήματα ασφάλειας υπολογιστών και δικτύων.<br />
6.2.5.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή<br />
II. Προωθεί τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης περιστατικών. Η<br />
ροή των πληροφοριών αυτών γίνεται αφού έχει γίνει η βασική κατηγοριοποίηση-δόμηση της<br />
πληροφορίας, με συγκεκριμένο πρωτόκολλο, μέσω της Βάσης Δεδομένων που συντηρείται.<br />
6.2.5.5 Διασυνδέσεις με τρίτους φορείς<br />
I. Διαθέτει ανοικτά κανάλια επικοινωνίας με οποιονδήποτε φορέα της Δημόσιας Διοίκησης<br />
II. Συνεργάζεται με άλλες ομάδες Αντιμετώπισης Περιστατικών (CSIRT) στην Ελλάδα και στο<br />
εξωτερικό, ώστε να είναι δυνατή η ανταλλαγή πληροφοριών και προς τις δύο κατευθύνσεις.<br />
Αυτό συμβαίνει στις περιπτώσεις που ένα περιστατικό ασφάλειας εκτείνεται πέρα από τα ό-<br />
ρια ευθύνης της συγκεκριμένης ομάδας ή στις περιπτώσεις που μια άλλη ομάδα ενημερωθεί<br />
για ένα περιστατικό όπου εμπλέκεται και η Δημόσια Διοίκηση.<br />
6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη<br />
6.2.6.1 Στόχοι – ρόλος<br />
Ο βασικός στόχος της ομάδας είναι η παροχή πληροφόρησης προς τους διαχειριστές και τους χρήστες<br />
των πληροφοριακών υποδομών της ΔΔ, σχετικά με πιθανά προβλήματα ασφάλειας που αφορούν<br />
τα συστήματά τους, τις δυνατότητες πρόληψης και τους πιθανούς τρόπους επίλυσης των προβλημάτων.<br />
Ο ρόλος της ομάδας αυτής είναι να συγκεντρώνει, να φιλτράρει, να κατηγοριοποιεί και<br />
να δημοσιοποιεί οποιοδήποτε ζήτημα ασφάλειας προκύπτει, είτε ανακοινώνεται από κατασκευαστές<br />
συστημάτων λογισμικού και εξοπλισμού δικτύων, είτε δημοσιοποιείται από άλλες ομάδες CSIRT,<br />
είτε διαπιστώνεται από την ίδια την ομάδα. Η ομάδα αυτή θα πρέπει να παρέχει μόνο την πληροφορία<br />
που αφορά στα συστήματα της ΔΔ, έτσι ώστε η διάχυσή της προς τους ενδιαφερόμενους να είναι<br />
ιδιαίτερα επικεντρωμένη και αποτελεσματική.<br />
6.2.6.2 Αρμοδιότητες<br />
I. Παρακολουθεί σε καθημερινή βάση τις ανακοινώσεις ασφάλειας (security advisories) επιλεγμένων<br />
κατασκευαστών και άλλων ομάδων CSIRT.<br />
II. Επικοινωνεί τακτικά με τους διαχειριστές των υποδομών της ΔΔ, ώστε να καταγράφει τα<br />
συστήματα δικτύων και λογισμικού που χρησιμοποιούνται και έτσι να μπορεί να κάνει στοχευμένη<br />
ενημέρωση για αυτά.<br />
III. Συντηρεί εκτεταμένο περιεχόμενο σε ιστοσελίδες, το οποίο μεταξύ άλλων περιέχει:<br />
i) Ανακοινώσεις για<br />
o<br />
την ασφάλεια, κατηγοριοποιημένες ανά κατασκευαστή.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
233
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
o<br />
o<br />
κρίσιμα ζητήματα ασφάλειας, όπως οι πιο συχνές επιθέσεις, η δεκάδα των πιο επικίνδυνων<br />
ιών, πρόσφατα σημαντικά περιστατικά (horror stories) που καταγράφηκαν<br />
από άλλες ομάδες.<br />
κρίσιμες ενημερώσεις λογισμικού που έχουν εκδοθεί και αφορούν στα συστήματα<br />
της ΔΔ.<br />
ii) Ανάλυση των σημαντικών security advisories ως προς το ποιους αφορά, ποιες είναι<br />
οι πιθανές επιπτώσεις, ποιες είναι οι τεχνικές λύσεις, ποιες είναι οι επιπτώσεις των<br />
λύσεων και ποιο το πιθανό κόστος τους.<br />
iii) Συστάσεις για βέλτιστες πρακτικές (πχ. στη συντήρηση συστημάτων, στη σύνταξη<br />
SLA, στην εκπόνηση ανάλυσης επικινδυνότητας κλπ.).<br />
iv) Πηγές και αναφορές προς επιπλέον πληροφόρηση που μπορεί να αντλήσει ο ενδιαφερόμενος<br />
από το διαδίκτυο.<br />
v) Προτάσεις για πακέτα λογισμικού και open-source εργαλεία για την προστασία και<br />
την παρακολούθηση των συστημάτων.<br />
vi) Ενημέρωση για νομικά ζητήματα που αφορούν στην ασφάλεια και την ιδιωτικότητα.<br />
vii) Ενημέρωση για επιχειρηματικούς Άξονες που επηρεάζουν την ασφάλεια και την ε-<br />
πιχειρησιακή υπευθυνότητα που αφορά την ασφάλεια.<br />
viii) Ενημέρωση για την δραστηριότητα άλλων σχετικών ευρωπαϊκών και διεθνών ο-<br />
μάδων.<br />
IV. Οργανώνει ενημερωτικά σεμινάρια, σε συνεργασία με το Τμήμα Δημοσίων Σχέσεων.<br />
6.2.6.3 Μορφότυπος μελών<br />
Τα μέλη της ομάδας έχουν μέτρια τεχνική εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστημάτων<br />
και γνωρίζουν βασικά στοιχεία λειτουργικών συστημάτων και δικτυακών συσκευών μεγάλων<br />
κατασκευαστών. Έχουν επίσης εμπειρία στην ανάπτυξη ιστοσελίδων. Είναι επιθυμητή η παρακολούθηση<br />
σεμιναρίων που οργανώνονται από διεθνείς ομάδες CSIRT, όπως η CERT/CC.<br />
6.2.6.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή.<br />
II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων, από όπου δέχεται συστάσεις<br />
τεχνικού περιεχομένου.<br />
III. Αντλεί πληροφορίες από την ομάδα αντιμετώπισης περιστατικών, ώστε να ανακοινώνει μετρα<br />
πρόληψης ή/και καταστολής για κάποιο σημαντικό περιστατικό.<br />
IV. Συνεργάζεται με την Ομάδα Δημοσίων Σχέσεων<br />
6.2.6.5 Διασυνδέσεις με τρίτους φορείς<br />
I. Ανταλλάσσει πληροφορίες ενημερωτικού χαρακτήρα με άλλες ομάδες αντιμετώπισης περιστατικών,<br />
στην Ελλάδα και στο εξωτερικό.<br />
II. Παρέχει εξειδικευμένη-εξατομικευμένη ενημέρωση για συγκεκριμένα ζητήματα ασφάλειας<br />
προς φορείς της ΔΔ.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
234
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
III. Ενημερώνεται από τις θεσμοθετημένες ανεξάρτητες Αρχές για νέους κανονισμούς που<br />
σχετίζονται με την ασφάλεια πληροφοριακών και επικοινωνιακών συστημάτων.<br />
6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών<br />
6.2.7.1 Στόχοι – ρόλος<br />
Οι στόχοι της ομάδας για την αντιμετώπιση περιστατικών είναι (α) να διαχειριστεί αποτελεσματικά<br />
και έγκαιρα οποιοδήποτε περιστατικό ασφαλείας προκύψει το οποίο σχετίζεται με την κρίσιμες<br />
ΠΕΥ ΔΔ., (β) να λαμβάνει μέτρα για διαρκή πρόληψη κατά αντίστοιχων περιστατικών ασφαλείας,<br />
(γ) να ενημερώνει συνεχώς τους ενδιαφερομένους για τυχόν περιστατικά ασφαλείας που προκύπτουν<br />
σε άλλες υποδομές ΤΠΕ, και (δ) να αξιοποιεί εμπειρία από προγενέστερα περιστατικά τα ο-<br />
ποία διαχειρίστηκαν από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία. Συνιστάται η δημιουργία<br />
δύο υπο-ομάδων: η μια ομάδα θα βρίσκεται σε συνεχή επικοινωνία με τους φορείς και θα τους<br />
επικουρεί σε περιστατικά για τα οποία είναι γνωστός ο τρόπος αντιμετώπισής τους, ενώ η άλλη ο-<br />
μάδα θα προσπαθεί να εντοπίσει νέα περιστατικά, αλλά και να διερευνήσει τα χαρακτηριστικά και<br />
τους τρόπους αντιμετώπισής τους.<br />
6.2.7.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες:<br />
V. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υποδομών.<br />
VI. Αναλαμβάνει άμεση δράση, χωρίς ειδική εξουσιοδότηση από τη Συντονιστική Επιτροπή,<br />
κατά την ύπαρξη περισταστικών ασφαλείας.<br />
VII. Είναι υπεύθυνη για το χειρισμό των περιστατικών και παράγει αναφορές κατά τη διάρκεια<br />
και ολοκλήρωση της διαχείρισης ενός περιστατικού ασφαλείας.<br />
VIII. Διατηρεί μητρώο με όλες τα συμβάντα, και προβαίνει σε συχνές ενημερώσεις προς τους διασυνδεδεμένους<br />
φορείς για το είδος και το χειρισμό αντίστοιχων συμβάντων.<br />
IX. Συνεδριάζει σε τακτική βάση.<br />
X. Διατηρεί Βάση Δεδομένων με συγκεκριμένες διαδικασίες αντιμετώπισης περιστατικών α-<br />
σφαλείας από περιπτώσεις σε Ελλάδα, Ευρώπη και παγκοσμίως.<br />
XI. Συνεργάζεται διαρκώς με την ομάδα για τη Συλλογή Πληροφοριών/Περιστατικών, και με<br />
την ομάδα για την Ενημέρωση/Πρόληψη.<br />
XII. Διατηρεί συνεχή αμφίδρομη επικοινωνία με αντίστοιχες Ομάδες τύπου CSIRT του εξωτερικού,<br />
με το εθνικό CERT, με το Ερευνητικό Ινστιτούτο Ασφάλειας, με άλλα συνεργαζόμενα<br />
Ευρωπαϊκά CERTs, και εμπειρογνώμονες (expert groups).<br />
XIII. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων, προωθεί τις πληροφορίες που συγκεντρώθηκαν<br />
για τα περιστατικά και ζήτα καθοδήγηση σε περιπτώσεις όπου το σύμβαν είναι<br />
νέο και δεν έχει αντιμετωπιστεί ξάνα.<br />
XIV. Δρα επικουρικά στο έργο της Ομάδας Διαχείρισης Κρίσεων, αξιοποιώντας στο έπακρον τη<br />
γνώση και εμπειρία που έχει αποκτηθεί από τη διαχείριση και αντιμετώπιση καθημερινών<br />
περιστατικών (τα οποία δεν χαρακτηρίζονται ως ‘κρίσιμα’).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
235
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6.2.7.3 Μορφότυπος μελών<br />
I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται κυρίως από ε-<br />
ξειδικευμένους επιστήμονες και τεχνικούς ασφαλείας, και κατά ένα μικρό μέρος από διοικητικά<br />
στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, διατήρηση αρχείου<br />
συμβάντων, Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτερικού).<br />
II. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών<br />
μελών.<br />
III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης περιστατικών ασφαλείας,<br />
ώστε να μπορεί να αντιμετωπίζουν έγκαιρα και με αποτελεσματικότητα τέτοια συμβάντα.<br />
6.2.7.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή, αλλά σε περίοδο<br />
κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και αναλαμβάνει τη διαχείριση<br />
της κρίσεως.<br />
II. Συνεργάζεται με την Ομάδα Συμβούλων -Εμπειρογνωμόνων.<br />
III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφοριών-Περιστατικών<br />
και την Ομάδα Διαχείρισης Κρίσεων.<br />
6.2.7.5 Διασυνδέσεις με τρίτους φορείς<br />
I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές<br />
II. Συνεργάζεται διαρκώς με αντίστοιχες ομάδες τύπου CSIRT του εξωτερικού.<br />
6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation)<br />
6.2.8.1 Στόχοι – ρόλος<br />
Οι στόχοι της ομάδας για τη Διερεύνηση (Investigation) Περιστατικών είναι (α) να διερευνήσει τα<br />
αίτια και τους υπαιτίους πρόκλησης περιστατικών ασφαλείας στις κρίσιμες ΠΕΥ ΔΔ., (β) να αξιοποιεί<br />
εμπειρία από προγενέστερα περιστατικά τα οποία διαχειρίστηκαν από άλλες σχετικές ομάδες<br />
και τη διεθνή βιβλιογραφία, και (γ) να αποτελεί το σύνδεσμο (liaison) με ομάδες επιβολής του νόμου.<br />
Η Ο.Ε. δεν έκρινε σκόπιμο να υπάρχει ομάδα διερεύνησης πειστηρίων, με στόχο την επιβολή<br />
κυρώσεων. Συνεπώς, ο κύριος ρόλος αυτής της ομάδας είναι να ειδοποιεί τις αντίστοιχες ομάδες ε-<br />
πιβολής του νόμου και να συνδράμει στο έργο τους.<br />
6.2.8.2 Αρμοδιότητες<br />
Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες:<br />
I. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υποδομών.<br />
II. Αναλαμβάνει άμεση δράση, χωρίς ειδική διαδικασία από τη Συντονιστική Επιτροπή, κατά<br />
την ύπαρξη περιστατικών ασφαλείας που χρήζουν διερεύνησης.<br />
III. Συνεργάζεται διαρκώς με την ομάδα για τη Αντιμετώπιση Περιστατικών και την Ομάδα<br />
Διαχείρισης Κρίσεων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
236
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
IV. Διατηρεί συνεχή αμφίδρομη επικοινωνία με ομάδες επιβολής του νόμου.<br />
V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στη<br />
διαχείριση περιστατικών ασφαλείας.<br />
6.2.8.3 Προφίλ μελών<br />
I. Στελεχώνεται από ένα μικρό αριθμό προσώπων, τα οποία έχουν εξειδίκευση σε έλεγχο και<br />
διερεύνηση ή νομικούς επιστήμονες.<br />
II. Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων/τεχνικών ασφαλείας και από εξειδικευμένους<br />
στην ασφάλεια ΤΠΕ νομικούς επιστήμονες. Τέλος, απασχολεί και διοικητικά<br />
στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, τήρηση αρχείου συμβάντων,<br />
Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτερικού).<br />
III. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών<br />
μελών.<br />
IV. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διερεύνησης περιστατικών ασφαλείας,<br />
ώστε να μπορούν να φέρουν εις πέρας με αποτελεσματικότητα τη διερεύνηση αντίστοιχων<br />
συμβάντων.<br />
V. Τα μέλη διατηρούν στενούς συνδέσμους με ομάδες επιβολής του νόμου.<br />
6.2.8.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες<br />
I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή.<br />
II. Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και την Ομάδα Διαχείρισης Κρίσεων.<br />
III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφοριών-Περιστατικών<br />
και την Συμβούλων - Εμπειρογνωμόνων.<br />
6.2.8.5 Διασυνδέσεις με τρίτους φορείς<br />
I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές.<br />
II. Βρίσκεται σε στενή συνεργασία με ομάδες επιβολής του νόμου.<br />
6.2.9 Αλλες ομάδες<br />
6.2.9.1 Αγορά (Agora) εκπροσώπων φορέων<br />
Στόχος της αγοράς είναι να δοθεί βήμα σε φορείς να εκφράσουν ελεύθερα τις θέσεις τους, μέσω των<br />
εκπροσώπων τους. Η Αγορά είναι μια μέθοδος συνεχούς και δημόσιας διαβούλευσης, ανοικτή και<br />
διαφανής. Οι συμμετέχοντες δεν καλούνται απλώς να εκφρασθούν τις θέσεις τους, αλλά επίσης να<br />
συνθέσουν από κοινού, και εγγράφως, αναλύσεις και προτάσεις. Το ζητούμενο είναι να υπογραμμισθούν<br />
οι δυνατές συναινέσεις ή να καταγραφούν σαφώς οι υπάρχουσες αποκλίνουσες εναλλακτικές<br />
λύσεις. Έτσι, τα αποτελέσματα μιας Αγοράς ενδέχεται να ενσωματωθούν στη στρατηγική της Συντονιστικής<br />
Επιτροπής.<br />
Η δραστηριοποίηση της Αγοράς πραγματοποιείται από ένα Συντονιστή, ο οποίος είναι επιφορτισμένος<br />
με την παρακολούθηση των συζητήσεων, καθώς και τους συντάκτες, οι οποίοι είναι επιφορτισμένοι<br />
με την επίσημη καταγραφή των απόψεών τους. Ο συντονιστής είναι επιφορτισμένος να διευθύνει<br />
τις συζητήσεις και ο ρόλος του περιλαμβάνει τα εξής:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
237
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
I. τη μελέτη των εισηγήσεων που κατατίθενται από τους συμμετέχοντες οργανισμούς.<br />
II. την επανεπικέντρωση των συζητήσεων στην ουσία του θέματος υπενθυμίζοντας τους<br />
στόχους της αγοράς.<br />
III. την επεξεργασία των αποτελεσμάτων που προκύπτουν και τη μεταφορά τους στη Συντονιστική<br />
Επιτροπή.<br />
6.2.9.2 Ερευνητικό Ινστιτούτο<br />
Στόχος του διασυνδεόμενου Ερευνητικού Ινστιτούτου είναι η διενέργεια ερευνών και μελετών για ό-<br />
λα τα ζητήματα που αφορούν την προστασία των κρίσιμων ΠΕΥ. Ενώ η Ομάδα Συμβούλων-Εμπειρογνωμόνων<br />
συνεργάζεται με τη Συντονιστική Επιτροπή για την πρακτική εφαρμογή προτάσεων<br />
που προκύπτουν από τη διεθνή εμπειρία και βιβλιογραφία, το Ερευνητικό Ινστιτούτο αποτελεί ένα<br />
Κέντρο Αριστείας και επεξεργασίας και παραγωγής μελετών και προτάσεων προς την Ομάδα Συμβούλων-Εμπειρογνωμόνων.<br />
Το Ερευνητικό Ινστιτούτο δεν εντάσσεται αλλά εφάπτεται στο προτεινόμενο<br />
οργανωτικό σχήμα, έτσι ώστε να έχει τους απαιτούμενους βαθμούς ελευθερίας κατά τη μελέτη<br />
και υποβολή προτάσεων για πιθανή ενσωμάτωση και αξιοποίηση από το κύριο σχήμα.<br />
Οι βασικές εργασίες που πραγματοποιεί το ερευνητικό ινστιτούτο είναι οι εξής:<br />
I. Μελέτη και παρακολούθηση της διεθνούς πρακτικής και βιβλιογραφίας σε ζητήματα προστασίας<br />
κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.<br />
II. Διενέργεια σχετικών ερευνών και μελετών.<br />
III. Υποβολή προτάσεων και αναλύσεων προς την Ομάδα Συμβούλων-Εμπειρογνωμόνων.<br />
IV. Εκπαίδευση και Πιστοποίηση γνώσης σε συγκεκριμένα θέματα όπως: πολιτκές ασφάλειας/<br />
σχέδια ανάκαμψης καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνολογίες<br />
διαχείρισης ταυτότητας κλπ.<br />
V. Συμμετοχή σε σχετικές διεθνείς ερευνητικές δράσεις.<br />
6.2.9.3 Τμήμα Δημοσίων Σχέσεων και Τύπου<br />
Η ύπαρξη κάποιου γραφείου που θα χειρίζεται την επικοινωνία του σχήματος κρίνεται ως επιτακτική<br />
ανάγκη, τόσο για την προβολή του έργου του, όσο και για τη διασφάλιση ότι τεχνικές πληροφορίες<br />
επικοινωνούνται στους δημόσιους φορείς και το κοινό με τον κατάλληλο τρόπο.<br />
Οι αρμοδιότητες του Τμήματος θα είναι μεταξύ άλλων:<br />
I. Διαχείριση ιστοσελίδας σχετικά με τις δράσεις και τα αποτελέσματα του φορέα.<br />
II. Οργάνωση ενημερωτικών ημερίδων και έκδοση ενημερωτικών εντύπων.<br />
III. Συνεργασία με την ομάδα Ενημέρωσης για την παρουσίαση του ενημερωτικού υλικού και<br />
των οδηγιών.<br />
IV. Δημιουργία ομάδων εργασίας σε συνεργασία με άλλες παρόμοιες Ευρωπαϊκές ομάδες σε<br />
συγκεκριμένα θέματα αιχμής<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
238
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6.3 Ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα Πληροφοριακά<br />
& Επικοινωνιακά Συστήματα της ΔΔ<br />
Στην ενότητα αυτή περιγράφονται τρία ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα<br />
ΠEY της ΔΔ, όταν ενεργοποιείται το προτεινόμενο οργανωτικό Σχήμα.<br />
6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του<br />
ΣΥΖΕΥΞΙΣ<br />
Στην ενότητα αυτή περιγράφεται ένα απλό σενάριο μη διαθεσιμότητας υπηρεσίας μιας νησίδας του<br />
ΣΥΖΕΥΞΙΣ ώστε να διευκρινισθούν οι δράσεις αντιμετώπισης του Φ., όπως προκύπτουν από το<br />
προτεινόμενο οργανωτικό σχήμα του.<br />
6.3.1.1 Περιγραφή σεναρίου<br />
Η ιδιωτική εταιρεία Α παρέχει υπηρεσίες διασύνδεσης στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ, η οποία έχει<br />
τις μεγαλύτερες απαιτήσεις σε εύρος δικτύου. Οι παρεχόμενες υπηρεσίες αφορούν τηλεφωνία (τηλεφωνική<br />
επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και<br />
Video (τηλεδιάσκεψη - τηλεεκπαίδευση).<br />
Το τελευταίο διάστημα έχει παρατηρηθεί ένα αυξημένο επίπεδο παραπόνων και κλήσεων στο Help<br />
Desk από τους χρήστες της Νησίδας, οι οποίες έχουν ως κοινό σημείο αναφοράς το χαμηλό επίπεδο<br />
των παρεχομένων υπηρεσιών. Οι εν λόγω αναφορές επικεντρώνονται στα εξής συμπτώματα:<br />
• Τηλεφωνία: Η επικοινωνία μεταξύ των χρηστών διακόπτεται αρκετά συχνά, η ποιότητα του ήχου<br />
είναι φτωχή και η καθυστέρηση στη μετάδοση κάνει τη συνομιλία δυσχερή έως και αδύνατη (τις<br />
ώρες αιχμής).<br />
• Δεδομένα: Η επικοινωνία που αφορά αλληλεπίδραση με εφαρμογές η-διακυβέρνησης είναι αρκετά<br />
αργή, ενίοτε και αδύνατη λόγω παρέλευσης του διαστήματος αδράνειας (timeout) τόσο κατά<br />
την αρχική σύνδεση (αδυναμία σύνδεσης στο σύστημα) όσο και μετά την εισαγωγή σε αυτό, με<br />
αποτέλεσμα να χάνεται εργασία σε εξέλιξη στο εν λόγω συστήματα. Σε ότι αφορά την πρόσβαση<br />
στο διαδίκτυο, παρατηρούνται τα ίδια φαινόμενα καθυστέρησης ακόμη και για απλή περιήγηση<br />
σε ιστοτόπους.<br />
• Υπηρεσίες Video: Είναι αδύνατο να χρησιμοποιηθούν πρακτικά, λόγω της αδυναμίας του δικτύου<br />
να παρέχει το απαιτούμενο εύρος κίνησης (bandwidth).<br />
Η Νησίδα Χ παρέχει κρίσιμες υπηρεσίες πληροφορικής, τόσο στους χρήστες της ΔΔ, όσο και<br />
στους πολίτες αφού φιλοξενεί εσωτερικά συστήματα του ΣΥΖΕΥΞΙΣ αλλά και εθνικές/διασυνοριακές<br />
ασφαλείς υπηρεσίες η-διακυβέρνησης. Περαιτέρω, η συγκεκριμένη χρονική περίοδος (τέλος<br />
περιόδου κατάθεσης φορολογικών δηλώσεων μέσω του διαδικτύου) δυσχεραίνει περαιτέρω την κατάσταση,<br />
αφού ο αυξημένος φόρτος του δικτύου διογκώνεται λόγω της εν λόγω συγκυρίας.<br />
Η εταιρεία Α παρέχει τις εν λόγω υπηρεσίες στο ΣΥΖΕΥΞΙΣ βάσει επίσημου SLA (Service Level<br />
Agreement) μεταξύ του υπεύθυνου φορέα (ΥΠΕΣΔΔΑ) και της ιδιωτικής εταιρείας Α. Λόγω εσωτερικών<br />
προβλημάτων ρευστότητας, ο καθύλην πάροχος των υπηρεσιών διασύνδεσης και με βάση<br />
το σχετικό SLA (εταιρεία Α - πάροχος υπηρεσιών διασύνδεσης) περικόπτει το διαθέσιμο εύρος δικτύου,<br />
με συνέπεια η μετακύλιση του προβλήματος να παραβιάζει το SLA ΥΠΕΣΔΔΑ - εταιρείας<br />
Α αφού δεν τηρείται το προβλεπόμενο επίπεδο υπηρεσίας. Το εν λόγω SLA έχει κατατεθεί στο Φ.<br />
μαζί με τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του ΣΥΖΕΥΞΙΣ. Το σύνολο<br />
της παραπάνω τεκμηρίωσης έχει ελεγχθεί ως προς τη συμβατότητά του με το πρότυπο ISO 27001 ή<br />
κάποιο αντίστοιχο, ευρείας αποδοχής.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
239
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ο υπεύθυνος δικτύου της Νησίδας Χ από την πλευρά του ΥΠΕΣΔΔΑ έχει ειδοποιηθεί για το πρόβλημα,<br />
ενημερώνει τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ και ειδοποιεί το Τμήμα Συλλογής<br />
Περιστατικών του Φ.<br />
6.3.1.2 Δράσεις του Φ.<br />
1. Η Ομάδα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο δικτύου<br />
της Νησίδας Χ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-repudiation).<br />
2-4. Η Ομάδα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην<br />
Ομάδα Διερεύνησης Περιστατικών.<br />
5-8. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και συνεργάζεται με τον υπεύθυνο<br />
δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ για συλλογή περισσότερων<br />
πληροφοριών, συνεργάζεται με την Ομάδα Ελέγχου όσον αφορά το Σχέδιο Συνέχισης Λειτουργίας<br />
της Νησίδας Χ και προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης<br />
Περιστατικών και στην Ομάδα Ελέγχου.<br />
9-12. Η Ομάδα Αντιμετώπισης Περιστατικών συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρογνωμόνων<br />
και δρομολογεί τις ενέργειες που προβλέπονται από το Σχέδιο Συνέχισης Λειτουργίας<br />
της Νησίδας Χ. Επειδή εκτιμάται ότι υπάρχει κατάσταση σοβαρής κρίσης, ενημερώνεται η Συντονιστική<br />
Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ομάδα Διαχείρισης Κρίσεων.<br />
13-14 και 18-20. Η Ομάδα Διαχείρισης Κρίσεων διαμορφώνει το σχέδιο αντιμετώπισης της κρίσης<br />
για τη συγκεκριμένη περίπτωση και συνεργάζεται με την Ομάδα των Συμβούλων – Εμπειρογνωμόνων,<br />
την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο. Μετά το τέλος της κρίσης,<br />
ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπισης της. Το περιστατικό και οι<br />
τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και Πρόληψη και στο Τμήμα<br />
Δημοσίων Σχέσεων και Τύπου, ενώ ορίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν<br />
αντιπρόσωπος για τον τύπο σε περίπτωση μεγάλης δημοσιότητας του περιστατικού.<br />
15-17. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, ανατρέχει σε καταχωρημένα παρόμοια<br />
γεγονότα και τους τρόπους αντιμετώπισής τους, ενημερώνει και συνεργάζεται με την Ομάδα Διαχείρισης<br />
Κρίσεων και την Ομάδα Αντιμετώπισης Περιστατικών, και καταλήγει σε δράσεις και τρόπους<br />
αντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή<br />
τρόπο, έτσι ώστε να είναι άμεσα επαναχρησιμοποιήσιμα στο μέλλον.<br />
21-23. Η Ομάδα για την Ενημέρωση και Πρόληψη καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισής<br />
του, ενημερώνει τον Υπεύθυνο Δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας<br />
του ΣΥΖΕΥΞΙΣ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφάλειας του, τις οποίες επανα-υποβάλλονται<br />
ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο φορέα). Επιπλέον, συντάσσει μια<br />
περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο προς το ευρύ κοινό<br />
τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου. Τέλος, ενεργοποιεί όλους τους<br />
εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ.<br />
24. Η Ομάδα Διερεύνησης Περιστατικών σε συνεργασία με το Νομικό Σύμβουλο ενημερώνει τις<br />
Ρυθμιστικές Αρχές και τις ομάδες επιβολής του νόμου για τυχόν καταλογισμό ευθυνών.<br />
25-26. Το Τμήμα Δημοσίων Σχέσεων και Τύπου ενημερώνει τον ιστότοπο του Φ. σχετικά με την<br />
κρίση και τους τρόπους αντιμετώπισής του με την περιγραφή που έλαβε από την Ομάδα για την Ε-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
240
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
νημέρωση και Πρόληψη, και περαιτέρω ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των<br />
εξωτερικών φορέων.<br />
Οι παραπάνω δράσεις περιγράφονται στο Σχήμα 40.<br />
ΟΜΑΔΑ ΕΝΗΜΕΡΩΣΗΣ & ΠΡΟΛΗΨΗΣ<br />
ΟΜΑΔΑ ΣΥΛΛΟΓΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ<br />
ΟΜΑΔΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚ<br />
ΩΝ<br />
ΟΜΑΔΑ ΣΥΜΒΟΥΛΩΝ<br />
ΟΜΑΔΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ<br />
ΣΥΖΕΥΞΙΣ – ΝΗΣΙΔΑ Χ<br />
ΟΜΑΔΑ ΔΙΕΡΕΥΝΗΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ<br />
ΟΜΑΔΑ ΕΛΕΓΧΟΥ<br />
ΣΥΝΤΟΝΙΣΤΙΚΗ ΕΠΙΤΡΟΠΗ<br />
ΝΟΜΙΚΟΣ ΣΥΜΒΟΥΛΟΣ<br />
ΤΜΗΜΑ ΔΗΜΟΣΙΩΝ ΣΧΕΣΕΩΝ<br />
& ΤΥΠΟΥ<br />
24. Ενημέρωση Ρυθμιστικών Αρχών και Ομάδων Νόμου<br />
1. Αναφορά Περιστατικού<br />
20. Ορισμός Αντιπροσώπου Τύπου<br />
2. Καταγραφή Περιστατικού<br />
19. Κοινοποίηση Περιστατικού και Τρόπων Αντιμετώπισης<br />
18. Ενημέρωση Συντονιστικής Επιτροπής<br />
25. Δημοσιοποίηση Περιστατικού<br />
4. Προώθηση Περιστατικού<br />
3. Καταχώρηση Περιστατικού<br />
14β. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών<br />
14α. Συνεργασία με Ομάδα Συμβούλων<br />
14γ. Συνεργασία με Νομικό Σύμβουλο<br />
26. Ενημέρωση Εξωτερικών Φορέων<br />
5. Ανάλυση Περιστατικού<br />
15. Ανάλυση Δεδομένων Κρίσης<br />
6. Αλληλεπίδραση με ΣΥΖΕΥΞΙΣ<br />
16. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών<br />
13. Διαμόρφωση Σχεδίου Αντιμετώπισης Κρίσης<br />
7. Σχέδιο Συνέχισης Λειτουργίας Νησίδας Χ<br />
8α. Προώθηση Πληροφοριών Περιστατικού<br />
17. Καταγραφή Περιστατικού και Τρόπων Αντιμετώπισης<br />
8β. Προώθηση Πληροφοριών Περιστατικού<br />
9. Αναζήτηση Εμπειρογνωμοσύνης<br />
10. Εκτίμηση Συνθηκών Κρίσης<br />
11. Ενημέρωση Συντονιστικής Επιτροπής για Κρίση<br />
12. Ενεργοποίηση Ομάδας Διαχείρισης Κρίσεων<br />
23. Εσωτερική Ενημέρωση<br />
22. Σύνταξη Περιγραφής Περιστατικού για το Κοινό<br />
21. Ενημέρωση των Υπευθύνων της Νησίδας<br />
Σχήμα 40: Ακολουθία δράσεων του Φ. στο Σενάριο 1<br />
6.3.2 Σενάριο 2 – Άγνωστου τύπου Επίθεση στο Υπουργείο Χ<br />
Στην παρούσα ενότητα περιγράφεται ένα απλό σενάριο επίθεσης ώστε να διευκρινισθούν οι δράσεις<br />
αντιμετώπισης του Φ. όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του.<br />
6.3.2.1 Περιγραφή σεναρίου<br />
Το Υπουργείο Χ φιλοξενεί κρίσιμα πληροφοριακά σύστημα με τα οποία προσφέρει εθνικές και διασυνοριακές<br />
ασφαλείς υπηρεσίες η-διακυβέρνησης με βαθμό κρισιμότητας 2 (ο βαθμός κρισιμότητας<br />
των υποδομών έχει ήδη αξιολογηθεί από το Φ.). Το Υπουργείο Χ έχει ήδη καταθέσει στο Φ.<br />
τις πολιτικές ασφάλειας και ιδιωτικότητας των πληροφοριακών συστημάτων και των υπηρεσιών.<br />
Το Φ. έχει ήδη ελέγξει την συμβατότητα των πολιτικών με το πρότυπο ISO 27001 και τις έχει αποθηκεύσει<br />
στο τοπική βάση δεδομένων.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
241
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ο υπεύθυνος ασφάλειας έχει ειδοποιηθεί από την ομάδα ασφάλειας του Υπουργείου Χ για ένα<br />
πρωτοφανές φαινόμενο που δεν εμπίπτει στις γνώσεις τους με τις καταγεγραμμένες επιθέσεις/ιούς.<br />
Ο υπεύθυνος ασφάλειας ειδοποιεί το Τμήμα Συλλογής Περιστατικών του Φ.<br />
6.3.2.2 Δράσεις του Φ.<br />
1. Το Τμήμα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο ασφάλειας<br />
(ψηφιακά υπογεγραμμένη φόρμα που διατίθεται στην πύλη του Φ.) από το Υπουργείο Χ.<br />
2-4. Το Τμήμα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην<br />
Ομάδα Αντιμετώπισης Περιστατικών.<br />
5-6. Η Ομάδα Αντιμετώπισης και Πρόληψης Περιστατικών αναλύει το περιστατικό (επικοινωνώντας<br />
και με το υπεύθυνο ασφάλειας του Υπουργείου Χ για περισσότερες λεπτομέρειες), ελέγχει τα<br />
ήδη κατάχωρημένα περιστατικά και συμπεραίνει ότι πρόκειται για μια καινούργια μη καταχωρημενη<br />
επίθεση. Προωθεί το περιστατικό στην Ομάδα Διερεύνησης.<br />
7-9. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και αναζητά εμπειρογνωμοσύνη<br />
από το εθνικό CERT, απο το Ερευνητικό Ινστιτούτο Ασφάλειας, απο άλλα συνεργαζόμενα Ευρωπαϊκά<br />
CERTs, με συνεργαζόμενες ομάδες τύπου CSIRT και εμπειρογνωμόνων. Προωθεί τις πληροφορίες<br />
που συγκεντρώθηκαν στην Ομάδα Συμβούλων.<br />
10 -11. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, και καταλήγει σε δράσεις και τρόπους α-<br />
ντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τους τρόπους αντιμετώπισης και τα κοινοποιεί<br />
στα Γραφεία Ενημέρωσης και Πρόληψης και Δημοσίων Σχέσεων.<br />
Οι παραπάνω δράσεις περιγράφονται στο Σχήμα 41.<br />
Τέλος, το Γραφείο Ενημέρωσης και Πρόληψης καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισης<br />
και ενημερώνει τον Υπεύθυνο Ασφάλειας του Υπουργείου Χ (προσαρμόζοντας τις δράσεις<br />
στις πολιτικές ασφάλειας του) και ενεργοποιεί τους μηχανισμούς ενημέρωσης των χρηστών<br />
(ανακοίνωση στην πύλη, αποστολή e-mails, ανακοίνωση στο ενημερωτικό φυλλάδιο, τηλεφωνικά,<br />
οργάνωση ad-hoc σεμιναρίων). Το Γραφείο Δημοσίων Σχέσεων ενεργοποιεί όλους τους μηχανισμούς<br />
ενημέρωσης των εξωτερικών φορέων (π.χ. εθνικό CERT, συνεργαζόμενα CERT, CSIRT,<br />
Ερευνητικό Ινστιτούτο κλπ.).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
242
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
243
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος)<br />
Στην ενότητα αυτή περιγράφεται ένα σενάριο κρίσης στο κεντρικό δίκτυο τραπεζών που το διαχειρίζεται<br />
η Τράπεζα της Ελλάδος, και στη συνέχεια περιγράφονται οι δράσεις αντιμετώπισης του Φ.<br />
όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του.<br />
6.3.3.1 Περιγραφή σεναρίου<br />
Η Τράπεζα της Ελλάδος φιλοξενεί κρίσιμα πληροφοριακά συστήματα, με τα οποία παρέχει υπηρεσίες<br />
e-governent (δίκτυο Ελληνικών τραπεζών).<br />
Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων ενημερώνεται από το δίκτυο των τραπεζών<br />
που είναι συνδεδεμένες και εξυπηρετούνται από το κεντρικό σύστημα της ΤτΕ για ασυνέχεια<br />
στις προσφερόμενες υπηρεσίες και αδυναμία σύνδεσης στο κεντρικό σύστημα, με αποτέλεσμα να<br />
παρουσιαστεί δυσλειτουργία στον ευρύτερο τραπεζικό τομέα<br />
Το πρόβλημα που ανέκυψε δεν δύναται να διορθωθεί από τους τεχνικούς ασφαλείας δικτύων της<br />
ΤτΕ εντός ολίγων ωρών, έχουν διακοπεί όλες οι συνδέσεις των τραπεζών με το κεντρικό πληροφοριακό<br />
σύστημα της ΤτΕ και η κατάσταση χαρακτηρίζεται ως ‘κρίση’ εντός της ΤτΕ.<br />
Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων (ή υπεύθυνος Ασφαλείας, εάν υπάρχει)<br />
της ΤτΕ ειδοποιεί άμεσα το Τμήμα Συλλογής Περιστατικών του Φ. προκειμένου να λάβει άμεση<br />
δράση και να επιλυφθεί του θέματος για την άμεση αντιμετώπιση της κρίσεως.<br />
Η ΤτΕ έχει καταθέσει τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του δικτύου<br />
των Ελληνικών τραπεζών. Το σύνολο της παραπάνω τεκμηρίωσης έχει ελεγχθεί για συμβατότητα<br />
με το πρότυπο ISO27001 ή αντίστοιχο, ευρείας αποδοχής.<br />
6.3.3.2 Δράσεις του Φ.<br />
Η Ομάδα Συλλογής Περιστατικών<br />
• Δέχεται την αναφορά περιστατικού από τον υπεύθυνο Πληροφοριακών Συστημάτων και Δικτύων<br />
της ΤτΕ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-repudiation).<br />
• Καταγράφει, καταχωρεί και προωθεί το περιστατικό στην Ομάδα Διερεύνησης Περιστατικών.<br />
Η Ομάδα Διερεύνησης<br />
• Αναλύει το περιστατικό.<br />
• Επικοινωνεί και συνεργάζεται με τον Υπεύθυνο Δικτύου και τον Υπεύθυνο Ασφάλειας της ΤτΕ<br />
για συλλογή περισσότερων πληροφοριών.<br />
• Προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης Περιστατικών και<br />
στην Ομάδα Ελέγχου.<br />
Η Ομάδα Αντιμετώπισης Περιστατικών<br />
• Συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρογνωμόνων προκειμένου να διερευνήσει την ύ-<br />
παρξη αντίστοιχου καταχωρημένου περιστατικού στην Βάση Δεδομένων την οποία διατηρεί στο<br />
αρχείο του το Φ.<br />
Η Ομάδα Συμβούλων – Εμπειρογνωμόνων<br />
• Αναγνωρίζει αντίστοιχο συμβάν σε κεντρικά τραπεζικά συστήματα του εξωτερικού.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
244
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ξεκινάει την καταγραφή προτάσεων προκειμένου για την ανάληψη συγκεκριμένων δράσεων και<br />
ενεργειών για την αντιμετώπιση και άμεση επίλυση του προβλήματος.<br />
• Χαρακτηρίζει την κατάσταση ως «Κρίση».<br />
• Ξεκινάει την εξέταση συγκεκριμένων δράσεων και τρόπους αντιμετώπισης της κρίσης.<br />
• Παράλληλα, ενημερώνεται η Συντονιστική Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ο-<br />
μάδα Διαχείρισης Κρίσεων.<br />
• Ενημερώνει και συνεργάζεται με την Ομάδα Διαχείρισης Κρίσεων και την Ομάδα Αντιμετώπισης<br />
Περιστατικών<br />
Η Ομάδα Διαχείρισης Κρίσεων<br />
• Συνεπικουρούμενη απότην Ομάδα των Συμβούλων-Εμπειρογνωμόνων, διαμορφώνει το Τελικό<br />
Σχέδιο Αντιμετώπισης της Κρίσης για τη συγκεκριμένη περίπτωση.<br />
• Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο.<br />
• Επίσης, ενεργοποιεί τους συνδέσμους της με συναφείς φορείς (Εθνικό CERT, ΕΔΕΤ, ΑΠΠΔ,<br />
ΑΔΑΕ κλπ.) και συγκαλεί άμεση ενεργοποίηση των μηχανισμών συνεργασίας για την παροχή<br />
βοηθείας και επιστημονικής και τεχνικής συμβολής για την αντιμετώπιση της κρίσης.<br />
• Προωθεί το Σχέδιο Αντιμετώπισης της Κρίσης στον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ,<br />
και ξεκινάει η διαδικασία εξομάλυνσης της κρίσης, βάσει των οδηγιών του Φ.<br />
Η Ομάδα των Συμβούλων – Εμπειρογνωμόνων<br />
• Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή τρόπο, έτσι ώστε να είναι άμεσα<br />
αξιοποιήσιμα σε μελλοντικές αντίστοιχες καταστάσεις κρίσεων.<br />
• Λαμβάνει ενημέρωση από τον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ για την πορεία επίλυσης<br />
της κρίσης.<br />
• Μετά το τέλος της κρίσης, ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπισής<br />
της.<br />
• Το περιστατικό και οι τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και<br />
Πρόληψη και στο Τμήμα Δημοσίων Σχέσεων και Τύπου.<br />
• Οίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν αντιπρόσωπος για τον Τύπο σε περίπτωση<br />
μεγάλης δημοσιότητας του περιστατικού.<br />
Η Ομάδα για την Ενημέρωση και Πρόληψη<br />
• Καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισής του.<br />
• Ενημερώνει τον Υπεύθυνο Δικτύου της ΤτΕ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφάλειάς<br />
του, τις οποίες επανα-υποβάλλονται ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο<br />
φορέα).<br />
• Συντάσσει μια περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο<br />
προς το ευρύ κοινό τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου.<br />
• Ενεργοποιεί όλους τους εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
245
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Η Ομάδα Διερεύνησης Περιστατικών<br />
• Σε συνεργασία με το Νομικό Σύμβουλο, ενημερώνει τις Ρυθμιστικές Αρχές και τις ομάδες επιβολής<br />
του νόμου για τυχόν καταλογισμό ευθυνών.<br />
Το Τμήμα Δημοσίων Σχέσεων και Τύπου<br />
• Ενημερώνει τον ιστότοπο του Φ. σχετικά με την κρίση και τους τρόπους αντιμετώπισής του με<br />
την περιγραφή που έλαβε από την Ομάδα για την Ενημέρωση και Πρόληψη,<br />
• Ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των εξωτερικών φορέων.<br />
Οι παραπάνω δράσεις περιγράφονται στο Σχήμα 42.<br />
Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
246
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
7<br />
Διαβούλευση<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
247
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
7. Διαβούλευση<br />
7.1 Εισαγωγή – Ανάγκη για διαβούλευση<br />
Όπως ήδη αναφέρθηκε κατά την ανάπτυξη της μεθοδολογίας του παρόντος έργου (παρ. 2.2, Βήμα<br />
5), απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/ προστασίας υποδομών<br />
ζωτικής σημασίας είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων μερών. Η προϋπόθεση<br />
αυτή γίνεται ακόμη πιο αναγκαία στην περίπτωση των υποδομών ΠΕΥ ΔΔ λόγω:<br />
• της αυξανόμενης πολυπλοκότητας και κρισιμότητας των υποδομών αυτών,<br />
• της απελευθέρωσης της αγοράς των τηλεπικοινωνιών και της συνακόλουθης αύξησης των εμπλεκόμενων<br />
μερών στο νέο επιχειρηματικό μοντέλο διευρυμένης συνεργασίας ιδιωτικού και<br />
δημόσιου τομέα,<br />
• της αυξανόμενης χρήσης του Διαδικτύου στην παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης<br />
και της εξ αυτής της χρήσης παγκοσμιοποίησης των απειλών (ο όρος Cybercrime περιγράφει<br />
τις οργανωμένες επιθέσεις κατά της ασφάλειας κρίσιμων κυβερνητικών υποδομών μέσω<br />
Διαδικτύου [Mcaf-07]).<br />
Δεδομένου ότι η «αλυσίδα» της ασφάλειας είναι τόσο ισχυρή όσο ο πιό αδύναμος κρίκος της, απαιτείται<br />
μια ισοσθενής αύξηση του επιπέδου ασφάλειας όλων των συνδεδεμένων συστημάτων, καθώς<br />
και η διαρκής ενημέρωση και δέσμευση όλων των συνεργαζόμενων μερών επί των σχετικών θεμάτων<br />
ασφάλειας. Σε ένα ανοικτό περιβάλλον πολυμερούς συνεργασίας, όπως αυτό της παροχής υπηρεσιών<br />
ηλεκτρονικής διακυβέρνησης, το μοντέλο της “ασφάλειας μέσω απόκρυψης” (security by<br />
obscurity) είναι αναποτελεσματικό. Αντίθετα, είναι απαραίτητη η ανάπτυξη μιας «κουλτούρας» α-<br />
σφάλειας [OECD-02] μέσα από διαρκείς δράσεις ενημέρωσης και διαβούλευσης μεταξύ των συμμετεχόντων<br />
(παρόχων υποδομών και υπηρεσιών, χρηστών των υπηρεσιών, κανονιστικών αρχών,<br />
φορέων σχετικών με ασφάλεια και προστασία).<br />
Στο πνεύμα των παραπάνω διαπιστώσεων, η Ο.Ε. ενέταξε στη μεθοδολογία της δράση οργανωμενης<br />
διαβούλευσης με εμπειρογνώμονες, οι οποίοι είτε εμπλέκονται ex officio στο χώρο αυτό, είτε<br />
εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Οι πρωτοβουλίες/φάσεις αυτής της<br />
διαβούλευσης και τα κύρια αποτελέσματά τους παρουσιάζονται σύντομα στη συνέχεια.<br />
7.2 Πρωτοβουλίες Διαβούλευσης<br />
Η διαβούλευση που οργάνωσε η Ο.Ε. στα πλαίσια του παρόντος έργου διεξήχθη μέσα από τις ακόλουθες<br />
πέντε πρωτοβουλίες/φάσεις:<br />
Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση<br />
Για την αποτελεσματικότερη διεξαγωγή της διαβούλευσης στα στενά χρονικά πλαίσια του παρόντος<br />
έργου κρίθηκε αναγκαία η μεθοδική επιλογή των συμμετεχόντων σε αυτήν. Αρχικά προσδιορίστηκαν<br />
οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, στα πλαίσια της δράσης που αναλυτικότερα παρουσιάζεται<br />
στο Κεφάλαιο 5 του παρόντος. Για τις υποδομές αυτές εντοπίστηκαν τα εμπλεκόμενα μέρη<br />
των εξής κατηγοριών:<br />
Κ1. Πάροχοι δικτύων, υπηρεσιών, συστημάτων, εφαρμογών, προϊόντων προστασίας (π.χ. ΟΤΕ-<br />
ΟΤΕΝΕΤ για το ΣΥΖΕΥΞΙΣ, NEWSPHONE για τα ΟΠΣ-ΚΕΠ, ΣΕΠΕ ως ο σύνδεσμος των<br />
παρόχων εξοπλισμού πληροφορικής κλπ).<br />
Κ2. Χρήστες των υποδομών-πάροχοι υπηρεσιών ΔΔ (ΓΓΠΣ, άλλες Υπηρεσίες Υπουργείων, Νομαρχιακή<br />
Αυτοδιοίκηση κλπ).<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
248
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Κ3. Εποπτικές/Κανονιστικές/Ρυθμιστικές Αρχές (ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ, ΕΛΑΣ, όπως αναλυτικά<br />
παρουσιάζονται στο Κεφάλαιο 4 του παρόντος)<br />
Κ4. Άλλοι φορείς σχετιζόμενοι με ασφάλεια-προστασία.<br />
Στη συνέχεια, από τους παραπάνω εμπλεκόμενους εντοπίστηκαν πρόσωπα-κλειδιά για συνεργασία<br />
με την Ομάδα Εργασίαςς. Βεβαίως, στη σύνθεση της ομάδας εργασίας υπάρχει ήδη σημαντική εκπροσώπηση<br />
αρκετών από τους παραπάνω φορείς.<br />
Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων<br />
Στη φάση αυτή συντάχθηκαν ερωτηματολόγια με ερωτήσεις εξειδικευμένες για κάθε διακριτή κατηγορία<br />
εμπλεκόμενων φορέων. Συγκεκριμένα, διατυπώθηκαν τρία διαφορετικά ερωτηματολόγια<br />
και απεστάλησαν στους επιλεγέντες ανθρώπους-κλειδιά:<br />
• Ερωτηματολόγιο Ε1: Aπευθύνεται σε Παρόχους/Αναδόχους υποδομών και υπηρεσιών και στοχεύει<br />
στην σκιαγράφηση του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φορέων<br />
σε σχέση με την προστασία ΠΕΥ.<br />
• Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο<br />
είχε να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφάλειας<br />
αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματολογίων<br />
χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρισιμότητα<br />
των ΠΕΥ.<br />
• Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξαγάγει<br />
συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος.<br />
Φάση 3: Συλλογή και επεξεργασία των απαντήσεων<br />
Έγινε η συλλογή και επεξεργασία των απαντήσεων ώστε να διατυπωθούν νέα συμπεράσματα ως<br />
συνισταμένη των απόψεων που κατατέθηκαν (βλ. επόμενη παράγραφο). Η επεξεργασία των απαντήσεων<br />
και δημοσίευση των συμπερασμάτων έγινε με ανώνυμο τρόπο.<br />
Φάση 4: Διοργάνωση ημερίδας (workshop)<br />
Βλέπε σχετική παράγραφο στη συνέχεια.<br />
Φάση 5: Δημοσίευση/Κοινοποίηση συμπερασμάτων<br />
Κατά τη φάση αυτή θα κοινοποιηθούν τα συμπεράσματα της διαβούλευσης (μέσω και του παρόντος<br />
παραδοτέου) σε όλους όσοι έλαβαν μέρος στη διαβούλευση, αλλά και σε άλλους εμπλεκόμενους<br />
φορείς. Θα ανακοινωθούν, επίσης, τα κύρια συμπεράσματα σε επιλεγμένα δημόσια fora (π.χ.<br />
INFOSYSTEMS, ICT Forum κλπ.).<br />
7.3 Ερωτηματολόγια – συνοπτικά συμπεράσματα<br />
Στο Παράρτημα Α’ παρατίθενται τα τρία ερωτηματολόγια, όπως διατυπώθηκαν για τους φορείς<br />
των κατηγοριών Κ1, Κ2 και Κ3. Συγκεντρώθηκαν και αξιολογήθηκαν 6, 3 και 8 ερωτηματολόγια,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
249
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
αντίστοιχα. Από την επεξεργασία των απαντήσεων προκύπτουν τα παρακάτω συμπεράσματα 63 .<br />
7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1<br />
1. Η πλειοψηφία των οργανισμών δεν διαθέτει ένα σαφώς καθορισμένο οργανωτικό σχήμα διαχείρισης<br />
της Ασφάλειας Πληροφοριών (βλ. ερώτηση 1). Μόνο οι 2 από τους 6 ερωτηθέντες<br />
(33%) απάντησαν ότι έχει οριστεί οργανωτικό σχήμα. Από αυτούς: και οι δύο έχουν εκχωρήσει<br />
μερος δραστηριοτήτων σε άλλα άλλα τμήματα/διευθύνσεις του ίδιου οργανισμού, ενώ μόνον ο<br />
ένας έχει πλήρως ενσωματώσει τη Διαχείριση Ασφάλειας Πληροφοριών στη συνολική Διαχείριση<br />
Κινδύνων του οργανισμού.<br />
2. Σε σημαντικά θέματα ασφάλειας (βλ. ερώτηση 2) παρατηρείται μια επικέντρωση στον προληπτικό<br />
χαρακτήρα των μέτρων ασφάλειας που έχουν υιοθετηθεί. Μόνο 1 από τους 6 ερωτηθέντες<br />
αναφέρει ύπαρξη μέτρων κατασταλτικού χαρακτήρα σε αρκετές δραστηριότητες.<br />
3. Παρατηρείται μια έντονη δραστηριότητα σε θέματα κανονιστικής συμμόρφωσης (βλ. ερώτηση<br />
3), η οποία έχει ξεκινήσει τουλάχιστο ένα χρόνο πριν και θα συνεχισθεί τους επόμενους 12 μήνες.<br />
Τα θέματα ασφάλειας έχουν ενσωματωθεί, ως επί το πλείστον, σε αυτές τις προσπάθειες<br />
χωρίς να διατηρούν ένα αυτόνομο χαρακτήρα σαν ξεχωριστά έργα. Χαρακτηριστικό είναι ότι<br />
το 100% των ερωτηθέντων δηλώνουν ότι επηρεάζονται από το κανονιστικό πλαίσιο που σχετιζεται<br />
με την προστασία προσωπικών δεδομένων και την ιδιωτικότητα.<br />
4. Τα θέματα ασφάλειας που κυρίως απασχολούν τους ερωτηθέντες (βλ. ερώτηση 4) σχετίζονται<br />
με τις Εφαρμογές Διαδικτύου, τα Web Services και λιγότερο με τα φορητά αποθηκευτικά μέσα<br />
και τα ασύρματα δίκτυα, με την πλειοψηφία να τα αντιμετωπίζει είτε στην παρούσα χρονική<br />
στιγμή είτε σε ένα ορίζοντα 12 μηνών. Είναι χαρακτηριστικό ότι μέσα από 12 εφαρμογές, το<br />
100% των ερωτηθέντων απαντά ότι θεωρεί σημαντικές τις εφαρμογές διαδικτύου, ενώ σε όλα<br />
τα άλλα ζητήματα οι απαντήσεις είναι λίγες και διάσπαρτες.<br />
5. Ο έλεγχος του επιπέδου ασφάλειας του οργανισμού (βλ. ερώτηση 5) επιτυγχάνεται με ιδία<br />
μέσα είτε με Εσωτερικό ελέγχου είτε με διαδικασίες εσωτερικής αποτίμησης.<br />
6. Οι κυριότερες δραστηριότητες ασφάλειας (βλ. ερώτηση 6) σε βάση σπουδαιότητας είναι διάσπαρτες<br />
και ποικίλλουν από τη Συμμόρφωση, τη Συνέχεια Λειτουργιών έως τη φυσική και τη<br />
λογική ασφάλεια και την προμήθεια/ανάπτυξη/συντήρηση ΠΣ. Αντίστοιχα, οι πλέον χρονοβόρες<br />
δραστηριότητες είναι η Συνέχεια Λειτουργιών, η Συμμόρφωση και η προμήθεια/ανάπτυξη<br />
/συντήρηση ΠΣ.<br />
7. Στο επίπεδο του τρόπου αντιμετώπισης των θεμάτων ασφάλειας (βλ. ερώτηση 7), μόνο ένας<br />
στους 6 καλύπτει πλήρως και με τυπικό τρόπο (θεσμοθετημένο πλαίσιο, πολιτικές, διαδικασίες,<br />
κλπ.), ενώ 2 στους 6 (33%) καλύπτουν όλα τα θέματα με τυπικό τρόπο εκτός της σύγκλισης<br />
φυσικής και λογικής ασφάλειας. Η πλειονότητα των ερωτηθέντων καλύπτει τα θέματα ασφάλειας<br />
με ένα μικτό τρόπο, δηλ. με ένα συνδυασμό άτυπων και τυπικών πλαισίων και πρακτικών.<br />
8. Περί της συνεργασίας με τρίτα μέρη (βλ. ερώτηση 8), σχεδόν όλοι οι ερωτηθέντες απαιτούν<br />
ρητά από τους συνεργάτες να έχουν ορισμένες και εφαρμοσμένες πολιτικές και διαδικασίες α-<br />
σφάλειας και δυνατότητα ενσωμάτωσης των πολιτικών και διαδικασιών του οργανισμού του ε-<br />
ρωτηθέντος. Το 33% απαιτεί ανεξάρτητη εμπορική πιστοποίηση του τρίτου μέρους (πχ κατά<br />
ISO/IEC 27001), ενώ το 16% ενδεχόμενα λαμβάνει υπόψη αποτίμηση από ανεξάρτητη οντότητα<br />
με βάση βέλτιστες πρακτικές.<br />
9. Μόνο το 50% έχει διεξάγει μια άσκηση Αποτίμησης Επικινδυνότητας (βλ. ερώτηση 9), ενώ<br />
63 Δεδομένης της μεθοδολογίας που ακολουθήθηκε, καθώς και της σύνθεσης του δείγματος, τα εξαχθέντα συμπεράσματα<br />
είναι μεν ενδεικτικά τάσεων, αλλά δεν μπορούν να θεωρηθούν αντιπροσωπευτικά του αναλυόμενου<br />
πληθυσμού, ούτε ασφαλώς γενικεύσιμα.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
250
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
από αυτούς που απάντησαν θετικά, κατά την Άσκηση έχουν καλυφθεί όλοι οι βασικοί τομείς<br />
και απαιτήσεις.<br />
10. Η συχνότητα ενημέρωσης σε θέματα ασφάλειας (βλ. ερώτηση 10), ποικίλλει ανάλογα με τον α-<br />
ποδέκτη της ενημέρωσης: οι ερωτηθέντες που έχουν θεσμοθετημένο πλαίσιο διαχείρισης ασφάλειας,<br />
τείνουν να ενημερώνουν τους υπεύθυνους τμημάτων/διοικητικών μονάδων κάθε μήνα,<br />
ενώ την Εκτελεστική Διοίκηση ανά 1-2 μήνες.<br />
11. Τα κυρίαρχο πρότυπο ασφάλειας και διαχείρισης κινδύνων (βλ. ερώτηση 12) είναι το ITIL (με<br />
τις αντίστοιχες αιτιάσεις του σε θέματα ασφάλειας) σε ποσοστό 33%, ενώ το 16% (ο ίδιος<br />
οργανισμός που έχει υιοθετήσει το ITIL) εφαρμόζει και το ISO/IEC 27001. Η πλειοψηφία των<br />
ερωτηθέντων δεν εφαρμόζει κάποιο τυπικό πλαίσιο.<br />
12. Θέματα φυσικής πρόσβασης (βλ. ερώτηση 13) αντιμετωπίζονται με απλές κάρτες πρόσβασης<br />
(100%), ενώ μόνο 1 στους 6 χρησιμοποιεί κάποιο σύστημα αυθεντικοποίησης. Το 66% έχει τη<br />
δυνατότητα ενοποιημένης παρακολούθησης των προσπαθειών φυσικής και λογικής πρόσβασης<br />
από μια κονσόλα.<br />
13. Μόνο ένας από τους ερωτηθέντες δεν διαθέτει τυπικό Σχέδιο Διαχείρισης Συνέχειας Λειτουργιών<br />
(βλ. ερώτηση 15), ενώ το 84% των ερωτηθέντων έχουν αναπτύξει ένα Πλάνο Συνέχειας<br />
Λειτουργιών κάποιας μορφής.<br />
14. Μόνο ένας στους 6 έχει προβλέψει μείζονες κρίσεις (όχι απαραίτητα σε επίπεδο ΠΣ), το 33%<br />
θεωρεί ότι καλύπτεται από τα υπάρχοντα πλάνα συνέχειας ενώ το 50% δεν έχει λάβει υπόψη<br />
του καθόλου τέτοια περιστατικά.<br />
15. Μόνο ένας στους 6 έχει ελέγξει (ή εφαρμόσει) το Πλάνο Συνέχειας Λειτουργιών στα τελευταία<br />
2 έτη, ενώ το 66% δεν το έχει ελέγξει (ή εφαρμόσει) ποτέ.<br />
16. Υπάρχει μια γενική ανεπάρκεια πρόβλεψης/ενσωμάτωσης των δράσεων που αναφέρονται σε<br />
παράπλευρες (όχι τεχνικά κύριες) δραστηριότητες που σχετίζονται με τα Σχέδια Ανάκαμψης<br />
από Καταστροφή (Disaster Recovery Plan, DRP), ενώ το 50% ελέγχει τα Σχέδια με επαρκή συχνότητα<br />
προκειμένου να βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού<br />
(τεχνολογίες, προσωπικό και εγκαταστάσεις).<br />
17. Η μεγάλη πλειονότητα των ερωτηθέντων δίνει μεγάλη σημασία στα SLA (εδώ έρχεται σε αντίθεση<br />
η απάντηση παραπάνω ότι «μόνο το 33% έχει ρητά ορίσει τους χρόνους ανάκαμψης στα<br />
SLA», ενώ στην ειδική για τα SLA ερώτηση φαίνεται ότι το 84% έχει προχωρήσει σε «Ορισμό<br />
ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας (διαθεσιμότητα,<br />
απόδοση, χρόνοι απόκρισης κλπ.)».<br />
7.3.2 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε2<br />
Οι απαντήσεις προέρχονται από τρεις μόνο φορείς, όμως αφορούν συστήματα μεγάλης βαρύτητας,<br />
τόσο σε γεωγραφική έκταση, όσο και σε αριθμό χρηστών.<br />
18. Σχεδόν στο σύνολό τους οι προσφερόμενες υπηρεσίες βρίσκονται σε πολύ υψηλό επίπεδο εξέλιξης<br />
(διεκπεραίωση αιτημάτων/συναλλαγών/πληρωμής).<br />
19. Στο σύνολο των εξεταζόμενων υπηρεσιών, ο αριθμός των εξυπηρετούμενων χρηστών είναι πολύ<br />
υψηλός, (από εκατοντάδες χιλιάδες, μέχρι εκατομμύρια χρήστες).<br />
20. Οι παρεχόμενες υπηρεσίες εξαρτώνται σε μεγάλο βαθμό από άλλα ΟΠΣ ή υποδομές, κυρίως ε-<br />
σωτερικές του οργανισμού, αλλά σε κάποιες περιπτώσεις και εξωτερικές. Σε κάποιες περιπτώσεις,<br />
όπου οι υποδομές παρέχονται και από παρόχους του ιδιωτικού τομέα, αυτές αφορούν υπηρεσίες<br />
δικτύωσης.<br />
21. Αναφορικά με το υφιστάμενο επίπεδο ασφάλειας, σε όλους τους υπό εξέταση οργανισμούς έχει<br />
συνταχθεί (ή βρίσκεται σε διαδικασία σύνταξης/αναθεώρησης) Πολιτική Ασφάλειας και σε κά-<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
251
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ποιους μελέτη επικινδυνότητας. Όμως, τα μέτρα ασφάλειας που προβλέπονται δεν είναι πλήρως<br />
υλοποιημένα.<br />
22. Σχετικά με τις υπηρεσίες που παρέχονται μέσω τρίτου φορέα: Στη μία περίπτωση αφορά μόνο<br />
την υποδομή ΣΥΖΕΥΞΙΣ, στην δεύτερη περίπτωση που παρέχονται διάφορες υπηρεσίες μέσω<br />
τρίτων, στα έργα που προκηρυχθήκαν από την ΚτΠ, πολλά θέματα ασφάλειας ή SLA<br />
αφήνονται στον Σύμβουλο Τεχνικής Υποστήριξης και την ΚτΠ, γεγονός που δεν οδηγεί σε ευαισθητοποίηση-ωρίμανση<br />
των ζητημάτων ασφάλειας στον ίδιο τον οργανισμό και στις περιπτώσεις<br />
που υπάρχουν SLAs, αναφέρθηκαν ελλείψεις. Και οι τρεις οργανισμοί δήλωσαν ότι<br />
υπάγονται (άμεσα ή έμμεσα) στην ελεγκτική αρμοδιότητα των Ανεξάρτητων/Ρυθμιστικών Αρχών<br />
(ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ), παράγοντας που πρέπει να ληφθεί υπόψη στο σχεδιασμό του οργανωτικού<br />
σχήματος.<br />
23. Σχετικά με τις πιθανές επιπτώσεις, παρατηρήθηκαν τα ακόλουθα: (α) Δεν καταγράφηκαν πιθανές<br />
επιπτώσεις ανθρώπινων απωλειών, (β) Η μη λειτουργία των υποδομών θα επηρέαζε πολύ<br />
μεγάλο αριθμό χρηστών και σε μεγάλη γεωγραφική έκταση, (γ) Δύο από τους τρεις φορείς αξιολογούν<br />
ως πολύ σημαντική επίπτωση την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕ.<br />
Ως αρκετά σημαντικές αξιολογούνται και οι πιθανές επιπτώσεις στην ιδιωτικότητα των χρηστών<br />
(αποκάλυψη προσωπικών δεδομένων κλπ.). Το κόστος ανάκαμψης και η οικονομική επίπτωση<br />
παρουσιάζει μεγάλη διακύμανση ανά ΟΠΣ/υποδομή. Οι επιπτώσεις ως προς την αντίδραση<br />
της κοινής γνώμης και την εφαρμογή πολιτικής και λειτουργίαs της Δημόσιας Διοίκησης<br />
βρίσκονται σε μέτριο επίπεδο.<br />
7.3.3 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε3<br />
1. Πολλές Δημόσιες Υπηρεσίες έχουν αναλάβει αρμοδιότητες σχετικές με την ασφάλεια. Θα πρέπει<br />
να οριοθετηθούν αυτές οι αρμοδιότητες ώστε να μη υπάρχουν επικαλύψεις. Να δημιουργηθούν<br />
συνέργειες και να ανοιχτούν κανάλια επικοινωνίας ώστε να δημιουργηθεί μια ενιαία πολιτική<br />
στα τόσα σημαντικά θέματα όπως είναι η ασφάλεια και η ιδιωτικότητα. Συγκεκριμένα παραδείγματα<br />
συνεργιών έχουν προταθεί μεταξύ των φορέων: ΕΛΑΣ, ΑΠΠΔ, ΑΔΑΕ, ΕΕΤΤ,<br />
ΓΕΕΘΑ κλπ.<br />
2. Η ΕΥΠ λειτουργεί ως: (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως υπεύθυνη<br />
του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινωνιών και των<br />
Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του Διαβαθμισμένου<br />
Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστική πλαισίωση του εθνικού<br />
μας CERT προτείνεται να γίνει με τη συνεργασία και άλλων φορέων.<br />
3. H συνεργασία με αντίστοιχες ερευνητικές ομάδες ΑΕΙ είναι αναγκαία, διότι οι ομάδες αυτές<br />
βρίσκονται στην αιχμή της έρευνας.<br />
4. Έλεγχος της αναλογικότητας των μέτρων που λαμβάνονται από τους Οργανισμούς σχετικά με<br />
την προστασία προσωπικών δεδομένων που διατηρούν προβλέπονται από το Ν. 2472/97 περί<br />
προστασίας δεδομένων προσωπικού χαρακτήρα. Η ΑΠΠΔ εξετάζει τις πολιτικές ασφάλειας για<br />
να εκτιμήσει τον κίνδυνο, από πλευράς ασφάλειας, της ιδιωτικότητας των δεδομένων. Στην<br />
προστασία κρίσιμων υποδομών ο στόχος πρέπει να είναι ο υπολογισμός του κινδύνου μιας κρίσιμης<br />
υποδομής σε περίπτωση καταστροφής.<br />
5. Η διασφάλιση της ιδιωτικότητας εστιάζει στην εμπιστευτικότητα των στοιχείων ενώ η προστασία<br />
των υποδομών στην διαθεσιμότητα. Επομένως θα πρέπει να δημιουργηθεί μια καινούργια<br />
οντότητα υπεύθυνη για τις κρίσιμες υποδομές της δημόσιας διοίκησης που να εξετάζει τις πολιτικές<br />
ασφάλειας ως προς την διαθεσιμότητα των υποδομών. Οι βάσεις δεδομένων της ΑΔΑΕ,<br />
ΑΠΠΔ και οποιοδήποτε άλλου φορέα που αποθηκεύει πολιτικές ασφάλειας θα πρέπει να είναι<br />
άμεσα προσβάσιμες και από τη καινούργια οντότητα ώστε να γίνεται ο έλεγχος από πλευράς<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
252
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
διαθεσιμότητας.<br />
6. Οι Αρχές θα πρέπει να ενοποιήσουν την δομή της πολιτικής ασφάλειας, έτσι ώστε να μπορούν<br />
να εξετασθούν όλες οι συνιστώσες (ιδιωτικότητα, διαθεσιμότητα, ακεραιότητα, αυθεντικότητα,<br />
ασφαλής πρόσβαση κλπ.) σύμφωνα με το πρότυπο ISO 27002, έτσι ώστε οι οργανισμοί να μην<br />
χρειάζεται να υποβάλλουν διαφορετικές πολιτικές ασφάλειας σε κάθε Αρχή. Με άλλα λόγια να<br />
δημιουργηθεί ένα κοινόχρηστο σύστημα ελέγχου πολιτικών ασφάλειας και ιδιωτικότητας με<br />
ασφαλή τρόπο πρόσβασης.<br />
7.4 Ημερίδα διαβούλευσης<br />
7.4.1 Σκοπός και διάρθρωση<br />
Σκοπός της ημερίδας ήταν η ζωντανή ανταλλαγή απόψεων και εμπειριών επί θεμάτων προστασίας<br />
των κρίσιμων ΠΕΥ με τους ανθρώπους που επελέγησαν για επαφή και συνεργασία, με έναν αμφίδρομο<br />
στόχο, δηλαδή αφενός την υποβοήθηση της Ο.Ε. στη διαμόρφωση των προτάσεών της για<br />
το ενδεδειγμένο οργανωτικό σχήμα προστασίας των ΠΕΥ ΔΔ και αφετέρου τη διάχυση των θέσεων<br />
και απόψεων της Ο.Ε. προς τους εμπλεκόμενους φορείς.<br />
Η ημερίδα έλαβε χώρα στις 10/7/2008 στις εγκαταστάσεις της ΚτΠ Α.Ε. και διαρθρώθηκε σε τρία<br />
μέρη (βλ. Παράρτημα Β, Πρόγραμμα Ημερίδας):<br />
Μέρος 1 ο : Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και<br />
εποπτικοί φορείς στην Ελλάδα και διεθνώς<br />
Μέρος 2 ο : Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητηματα<br />
Ασφάλειας<br />
Μέρος 3 ο : Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας<br />
Διοίκησης στην Ελλάδα<br />
Στο πρώτο μέρος έγινε σύντομη αναφορά σε οργανωτικά σχήματα από τη διεθνή εμπειρία, επιφορτισμένα<br />
με το ρόλο της προστασίας των κρίσιμων ΠΕΥ. Έγινε επίσης αναφορά σε εποπτικούς<br />
φορείς στην Ελλάδα σχετιζόμενους με την ασφάλεια των ΠΕΥ. Διατυπώθηκαν σχετικά ερωτήματα<br />
και ακολούθησε συζήτηση.<br />
Στο δεύτερο μέρος παρουσιάστηκαν, σύντομα και πάλι, υπηρεσίες και υποδομές ηλεκτρονικής<br />
διακυβέρνησης στην Ελλάδα και διατυπωθηκαν γενικά ζητήματα ασφάλειας.<br />
Τέλος, στο τρίτο μέρος αναζητήθηκαν προτάσεις για την προστασία των θεωρούμενων κρίσιμων<br />
ΠΕΥ της ΔΔ στην Ελλάδα.<br />
7.4.2 Επί μέρους θέματα συζήτησης<br />
Μεταξύ των θεμάτων που συζητήθηκαν κατά την ημερίδα ήταν και τα εξής:<br />
1. Υπάρχουν ρυθμιστικοί/εποπτικοί φορείς για ορισμένες συνιστώσες της ασφάλειας των Πληροφοριακών-Επικοινωνιακών<br />
Υποδομών (προστασία προσωπικών δεδομένων, απόρρητο των<br />
επικοινωνιών, ηλεκτρονικό έγκλημα, διαθεσιμότητα δημόσιων δικτύων επικοινωνίας, ασφάλεια<br />
διαβαθμισμένης πληροφορίας σε θέματα εθνικής σημασίας). Δεν καλύπτουν, ωστόσο, την<br />
προστασία υποδομών και περιεχομένου στο σύνολό της, όπως, για παράδειγμα, τη διαθεσιμότητα<br />
υποδομών και υπηρεσιών σε καθημερινές συναλλαγές του πολίτη και των επιχειρήσεων<br />
με τη δημόσια διοίκηση (ΚΕΠ, ΣΥΖΕΥΞΙΣ, Data Centers). Ανακύπτουν τα ερωτήματα:<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
253
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Ποιό νέο σχήμα θα μπορούσε να καλύψει το κενό; Με ποιά νομική υπόσταση, ποιά οργανωτική<br />
δομή και ποιές αρμοδιότητες;<br />
• Αρκεί μια δράση τύπου CERT (ενημέρωση, υποστήριξη μετά από αίτημα, ανάλυση περιστατικών<br />
κλπ.) ή απαιτείται και εποπτεία/έλεγχος (τύπου ΑΔΑΕ, ΕΕΤΤ)<br />
• Πώς μπορούν να εμπλακούν στο θέμα αυτό οι υπάρχουσες αρχές;<br />
• Θα πρέπει να συνδεθεί με το θέμα της γενικότερης (και φυσικής) προστασίας των υποδομών<br />
(προσέγγιση all hazards);<br />
2. Δεδομένου ότι οι ΠΕΥ ΔΔ αναπτύσσονται κατά μεγάλο μέρος (και θα συνεχίσουν να συντηρούνται<br />
και στο μέλλον) από ιδιωτικές εταιρίες, ποιός ο ρόλος και ποιές οι δεσμεύσεις του<br />
ιδιωτικού τομέα στα πλαίσια μιας τέτοιας πρωτοβουλίας;<br />
3. Οι περισσότεροι οργανισμοί/φορείς που φυλάσσουν/επεξεργάζονται προσωπικά δεδομένα<br />
υποβάλλουν Πολιτική Ασφάλειας στην ΑΠΠΔ. Τίθενται, σχετικά, τα ερωτήματα:<br />
• Υποχρεούνται να υποβάλλουν την πολιτική ασφάλειας και αλλού; Την ίδια;<br />
• Επαρκεί αυτή για την προστασία γενικότερα (μη διαθεσιμότητα κλπ);<br />
7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα<br />
Μεταξύ των συμπερασμάτων της ημερίδας διαβούλευσης σταχυολογούνται τα εξής σημαντικότερα:<br />
1. Δεν υπάρχει, πράγματι, φορέας (εποπτικός/κανονιστικός/ρυθμιστικός) ο οποίος να καλύπτει<br />
συνολικά και συστηματικά την προστασία ΠΕΥ και υπηρεσιών προς τους πολίτες στις καθημερινές<br />
τους συναλλαγές με τη Διοίκηση (κεντρική ή περιφερειακή). Ένα νέο σχήμα θα ήταν<br />
χρήσιμο, αν όχι απαραίτητο.<br />
2. Διαπιστώθηκε η ελλιπής εφαρμογή προτύπων από οργανισμούς, αλλά και η εν πολλοίς απουσία<br />
έγκριτων πιστοποιημένων συμβούλων στην Ελλάδα. Το γεγονός αυτό αντανακλάται στην<br />
ποιότητα των μέτρων και πολιτικών για την ασφάλεια και την προστασία των ΠΕΥ.<br />
3. Το νέο σχήμα δεν θα πρέπει να είναι ανεξάρτητη αρχή, ούτε να υποκαθιστά ή να επικαλύπτει<br />
τις ήδη υπάρχουσες αρχές στο ρόλο τους. Θα πρέπει να διαθέτει διεπαφές συνεργασίας με τις<br />
αρχές αυτές, στις οποίες και θα παραπέμπει θέματα αρμοδιότητάς τους.<br />
4. Το νέο σχήμα δεν θα ήταν σκόπιμο να υπαχθεί σε υπάρχουσες δομές και υπηρεσίες με αρμοδιότητα<br />
επί θεμάτων εθνικής ασφάλειας και προστασίας διαβαθμισμένης πληροφορίας. Δεν θα<br />
ήταν, επίσης, ευέλικτο, αν υπάγονταν στις υπηρεσίες γενικότερης προστασίας των υποδομών<br />
από φυσικές ή άλλες καταστροφές (προσέγγιση all hazards). Αντίθετα, σε πρώτη φάση θάταν<br />
καλό να επικεντρωθεί σε θέματα soft criticality των ΠΕΥ και ειδικότερα αυτών που σχετιζονται<br />
με τη Δημόσια Διοίκηση.<br />
5. Διαπίστωση της Ο.Ε. είναι ότι η κρισιμότητα των ΠΕΥ εμφανίζει διαβαθμίσεις στη Δημόσια<br />
Διοίκηση. Μια ενδεικτική προτεινόμενη διαβάθμιση είναι η εξής:<br />
• Κρισιμότητα επιπέδου 1: Βασικές ΠΕΥ Δημόσιας Διοίκησης (υποδομές ενέργειας, ύδρευσης,<br />
τηλεπικοινωνιών, μεταφορών κ.ά.) που παρέχουν παραδοσιακές υπηρεσίες απαραίτητες<br />
για την καθημερινή ζωή των πολιτών.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
254
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
• Κρισιμότητα επιπέδου 2: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη<br />
διευκόλυνση οργανισμών μεταξύ τους σε εθνικό, ευρωπαικό και παγκόσμιο επίπεδο.<br />
• Κρισιμότητα επιπέδου 3: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη<br />
διευκόλυνση πολιτών (όχι μόνο εθνικά αλλά σε ευρωπαϊκό και παγκόσμιο επίπεδο) στις<br />
συναλλαγές τους με το κράτος.<br />
• Κρισιμότητα επιπέδου 4: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για την ε-<br />
νημέρωση των πολιτών ως προς τις δραστηριότητες του οργανισμού.<br />
6. Θα πρέπει να μελετηθεί αρμοδίως η νομική υπόσταση του νέου σχήματος και η υπαγωγή του<br />
σε φορέα της κεντρικής διοίκησης, δεδομένου ότι θα καλύπτει περιοχές αρμοδιότητας διαφόρων<br />
Υπουργείων (ΥΜΕ και ΥΠΕΣ, κατ’ ελάχιστον). Ίσως θα πρέπει να εξετασθεί η δυνατοτητα<br />
αρχικής λειτουργίας του στα πλαίσια κάποιας υπάρχουσας υπηρεσίας, έως ότου ωριμάσει η<br />
ευρεία αποδοχή και οριστική θεσμοθέτησή του.<br />
7. Noμικές διατάξεις και αυστηρά σκληρά οργανωτικά σχήματα δεν βοηθούν την προστασία των<br />
υποδομών. Τροποποιήσεις στο υπάρχον νομοθετικό πλαίσιο ώστε να ικανοποιούνται και οι α-<br />
νάγκες για την ασφάλεια, ιδιωτικότητα και προστασία υποδομών είναι απαραίτητες αλλά καταλυτική<br />
είναι η συνεργασία μεταξύ των εμπειρογνωμόνων, τα κανάλια επικοινωνίας και συνεργασίας<br />
με σχετικές ομάδες εργασίας και η οργανωμένη ανταλλαγή πληροφοριών.<br />
8. Η συμμετοχή και ο ρόλος του ιδιωτικού τομέα μπορεί να είναι αξιόλογος, κατά το μοντέλο public-private<br />
partnership (ppp) που προωθείται διεθνώς. Θα πρέπει, ωστόσο, να δοθούν κίνητρα<br />
στις ιδιωτικές εταιρίες, προκειμένου να ενσωματώσουν στο σχεδιασμό και τη δράση τους θέματα<br />
ασφάλειας και προστασίας και να αναπτύξουν σχετικούς κώδικες επιχειρηματικής δράσης<br />
και δεοντολογίας.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
255
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
8<br />
Συμπεράσματα - Προτάσεις<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
256
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
8. Συμπεράσματα - Προτάσεις<br />
8.1 Κωδικοποίηση συμπερασμάτων και προτάσεων<br />
Με βάση:<br />
(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνικής<br />
Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκληθούν,<br />
(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδιασθεί<br />
και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών,<br />
(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης,<br />
καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals),<br />
(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής<br />
Δημόσιας Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ,<br />
προτείνεται στη συνέχεια, με κωδικοποιημένο τρόπο, μια σειρά ιεραρχημένων παρεμβάσεων για<br />
την προστασία των κρίσιμων ΠΕΥ της ελληνικής ΔΔ.<br />
Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφορά<br />
θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση<br />
αρμόδιων κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλαδή<br />
παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκησης,<br />
είτε μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ).<br />
Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό<br />
τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Ε-<br />
πιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και<br />
“Ψηφιακή Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρηματοδότηση<br />
από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επενδύσεων<br />
κλπ.).<br />
Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής:<br />
1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το οργανωτικό<br />
σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα<br />
αρμόδια κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του<br />
e-Government Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα<br />
διαδικασία.<br />
2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών<br />
Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστιτούτο<br />
θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστήριξη<br />
του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνωμόνων<br />
και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο<br />
λειτουργικό σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
257
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
τεχνογνωσία), η συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρακτήρα,<br />
στον οποίο ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, ό-<br />
σο για λόγους χρηματοδότησης, το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του<br />
διαδόχου του Επιχειρησιακού Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελματική<br />
Κατάρτιση), καθώς και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνολογίας).<br />
3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.<br />
Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις<br />
της εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυξηθεί<br />
στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά<br />
λόγω της εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών α-<br />
σφάλειας που εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι<br />
αμιγώς διαχειριστικός και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους<br />
του Επιχειρησιακού Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”).<br />
4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών<br />
Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτεραιότητας.<br />
Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης<br />
όλων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώρας,<br />
με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ο-<br />
λοένα και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός<br />
και η χρηματοδότησή του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμματος<br />
“Διοικητική Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”).<br />
5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών<br />
Υποδομών της Δημόσιας Διοίκησης<br />
Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτήρα.<br />
Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να<br />
βασίζεται σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υποδομής<br />
αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επιλεγεί.<br />
Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής<br />
μπορεί να γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχήματος<br />
το οποίο θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό<br />
που κατά κανόνα παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργίας<br />
του. Πρόκειται, προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτιμάται<br />
ότι μπορεί ευλόγως να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή<br />
Σύγκλιση”.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
258
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
8.2 Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ<br />
Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται στο συνοπτικό πίνακα που ακολουθεί<br />
στη συνέχεια.<br />
ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ<br />
ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα<br />
Ίδρυση Φορέα/Υπηρεσίας Προστασίας<br />
Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών<br />
Υποδομών της Δημόσιας<br />
Διοίκησης<br />
Θεσμική<br />
(εισήγηση Συμβουλίου<br />
e-Government Forum)<br />
Υψηλή<br />
Κρατικός προϋπολογισμός<br />
Ίδρυση Ερευνητικού<br />
Ινστιτούτου Προστασίας<br />
Κρίσιμων Πληροφοριακών και<br />
Επικοινωνιακών Υποδομών<br />
Θεσμική<br />
(πρόταση Συμβουλίου<br />
e-Government Forum)<br />
Υψηλή<br />
Ε.Π. Υπουργείου Παιδείας<br />
Ε.Π. Υπουργείου<br />
Ανάπτυξης (Γενική<br />
Γραμματεία Έρευνας και<br />
Τεχνολογίας)<br />
Ασφάλεια Πολυκέντρου<br />
Δεδομένων της Κοινωνίας της<br />
Πληροφορίας Α.Ε.<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Πολύ υψηλή<br />
Ε.Π. Κοινωνία της<br />
Πληροφορίας<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Εντοπισμός Κρίσιμων<br />
Ελληνικών Υποδομών<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Υψηλή<br />
Ε.Π. Διοικητική<br />
Μεταρρύθμιση<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Τεχνολογική υποδομή Φορέα<br />
Προστασίας Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών<br />
Υποδομών της Δημόσιας<br />
Διοίκησης<br />
Διαχειριστική<br />
(απόφαση ΚτΠ ΑΕ)<br />
Υψηλή<br />
Ε.Π. Ψηφιακή Σύγκλιση<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
259
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
#<br />
Βιβλιογραφία<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
260
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Βιβλιογραφία<br />
[Abe-06]<br />
[Ada-05]<br />
[AFC-06]<br />
Abele-Wigert I., Dunn M. (Eds.), International CICIP Handbook 2006, Vol. I: An Inventory<br />
of 20 National and 6 International Critical Infrastructure Protection Policies,<br />
Center for <strong>Security</strong> Studies, ETH Zurich, 2006.<br />
Adar E., Wuchner A., “Risk Management for Critical Infrastructure Protection Challenges,<br />
Best Practices and Tools”, in Proc. of the 1 st IEEE International Workshop on<br />
Critical Infrastructure Protection (IWCIP ‘05), pp. 90-100, 2005.<br />
Austrian Federal Chancellery, eGovernment for all Europeans: Overview of Recommendations,<br />
Seminar organized by the Greek Presidency of the EU Council 2006,<br />
Vienna, 10 February 2006.<br />
[AUS-06] e-<strong>Security</strong> National Agenda, Australia, 2001 and 2006.<br />
[Bai-07]<br />
[Bez-05]<br />
[Βερ-07]<br />
[Bia-06]<br />
[BMI-ΧΧ]<br />
[BMI-02]<br />
[BMI-04]<br />
[BMI-04]<br />
[BMI-05]<br />
[BMI-05a]<br />
[BMI-05b]<br />
Bailey L., The Challenging Landscape of Critical <strong>Information</strong> Infrastructure: Are We<br />
Ready?, Computer Crime and Intellectual Property Section, US Dept. of Justice, USA,<br />
March 2007.<br />
Bezerra E., Nakamura E., Riberio R., “Critical Telecommunications Infrastructure Protection<br />
in Brazil”, in Proc. of the 1 st IEEE International Workshop on Critical Infrastructure<br />
Protection (IWCIP ‘05), pp. 62-74, 2005.<br />
Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης<br />
στην Ελλάδα, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης<br />
2007.<br />
Bialas, A., “<strong>Information</strong> <strong>Security</strong> Systems vs. Critical <strong>Information</strong> Infrastructure Protection<br />
Systems – Similarities and Differences”, in Proc. of the International Conference<br />
on Dependability of Computer Systems, pp. 60-67, Poland, May 2006.<br />
Federal Ministry of Interior, Critical Infrastructure Protection Activities in Germany,<br />
Federal Office for <strong>Information</strong> <strong>Security</strong>, KRITIS/BSI, Germany.<br />
Federal Ministry of Interior, e-Government Manual, Federal Office for <strong>Information</strong><br />
<strong>Security</strong>, Germany.<br />
Federal Ministry of Interior, Analysis of Critical Infrastructures - The A<strong>CIS</strong> methodology,<br />
Federal Office for <strong>Information</strong> <strong>Security</strong>, KRITIS/BSI, Germany, April 2004.<br />
Federal Ministry of Interior, Federal Office for <strong>Information</strong> <strong>Security</strong>, Critical Infrastructure<br />
Protection: Survey of World-Wide Activities, KRITIS/BSI, Germany, April 2004.<br />
National Plan for <strong>Information</strong> Infrastructure Protection (NPSI), Federal Ministry of<br />
Interior (BMI), Germany, 2005.<br />
Federal Ministry of Interior, Federal Office for <strong>Information</strong> <strong>Security</strong>, National Plan for<br />
<strong>Information</strong> Infrastructure Protection, Berlin, Germany, 2005.<br />
Federal Ministry of Interior, Introduction to Critical Infrastructure Protection, Federal<br />
Office for <strong>Information</strong> <strong>Security</strong>, BSI/KRITIS, Germany, 2005.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
261
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
[BSI-04a]<br />
[BSI-04b]<br />
[BSI-05a]<br />
[BSI-05b]<br />
[Γκρ-04]<br />
[Γκρ-07]<br />
[Γκρ-08]<br />
[Cav-07]<br />
[Cav-07]<br />
[CIAO-98]<br />
[CICIP-04]<br />
[CICIP-04]<br />
[CRA-05]<br />
[Cuk-05]<br />
[Cuk-05]<br />
[Czi-07]<br />
Critical Infrastructure Protection: Survey of World-Wide Activities, Federal Office for<br />
<strong>Information</strong> <strong>Security</strong> (BSI) Germany, Task Force for Critical Infrastructure Protection<br />
(PG KRITIS), April 2004.<br />
Critical Infrastructure Protection: Activities in Germany, Federal Office for <strong>Information</strong><br />
<strong>Security</strong> (BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRI-<br />
TIS), April 2004.<br />
Introduction to Critical Infrastructure Protection, Federal Office for <strong>Information</strong> <strong>Security</strong><br />
(BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS),<br />
2005.<br />
Critical Infrastructure Protection in Germany, Federal Office for <strong>Information</strong> <strong>Security</strong><br />
(BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), 2005.<br />
Γκρίτζαλης Δ., “Ασφάλεια Πληροφοριακών Συστημάτων και Υποδομών: Εννοιολογική<br />
θεμελίωση”, στο Κάτσικας Σ., κ.ά., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις<br />
Νέων Τεχνολογιών, σελ. 19-54, Αθήνα, 2004.<br />
Γκρίτζαλης Δ., Από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσιμων<br />
πληροφοριακών υποδομών, 9 ο Ελληνικό ICT Forum, Αθήνα, Οκτώβρης 2007.<br />
Γκρίτζαλης Δ., Στοχεύαμε Ασφάλεια Πληροφοριακών Συστημάτων - Στοχεύουμε Προστασία<br />
Κρίσιμων Πληροφοριακών Υποδομών, Ημερίδα Αρχής Διασφάλισης Απορρήτου<br />
Επικοινωνιών (ΑΔΑΕ), Θεσσαλονίκη, Απρίλης 2008.<br />
Cavelty M., Critical <strong>Information</strong> Infrastructure: Vulnerabilities, Threats and Responses,<br />
Disarmament Forum, 2007.<br />
Cavelty M.D., Critical <strong>Information</strong> Infrastructure: Vulnerabilities, Threats and Responses,<br />
Disarmament Forum, 2007.<br />
Vulnerability Assessment Framework (ver. 1.1), US Critical Infrastructure Assurance<br />
Office, KPMG, USA, 1998.<br />
International CICIP Handbook, Analysis of Methods and Models for CII Assessment,<br />
2004.<br />
International CICIP Handbook, Analysis of Methods and Models for CII Assessment,<br />
2004.<br />
Cyber infrastructure for Education and Learning for the Future: A Vision and Research<br />
Agenda, Computer Research Association, USA, 2005.<br />
Cukier K., Ensuring (and Insuring?) Critical <strong>Information</strong> Infrastructure Protection,<br />
Report of the 2005 Rueschlikon Conference on <strong>Information</strong> Policy in the New Economy,<br />
Swiss Reference Centre for Global Dialogue, USA, 2005.<br />
Cukier K., Mayer-Schönberger V., Branscomb L., “Ensuring (and Insuring?) Critical<br />
<strong>Information</strong> Infrastructure Protection”, Working Papers Series, RWP05 -055, Harvard<br />
University, USA, October 2005.<br />
Cziner K., Mutafungwa E., Lucenius J., Järvinen R., Critical <strong>Information</strong> Infrastructure<br />
Protection in the Baltic Sea Area: The Case of TETRA, Working Paper 2007:6,<br />
Helsinki University of Technology.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
262
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
[DoD-07]<br />
[Dun-06]<br />
[EC-03]<br />
[EC-04]<br />
[EC-05]<br />
[EC-06a]<br />
[EC-06b]<br />
[Ega-07]<br />
[Eke-06]<br />
[EMA-03]<br />
[EMA-03]<br />
US Dept. of Defense, Critical Homeland Infrastructure Protection, Report of the Defense<br />
Science Board Task Force, USA, January 2007.<br />
Dunn M., et al. (Eds.), International CICIP Handbook 2006, Vol. II, Analyzing Issues,<br />
Challenges and Prospects, Center for <strong>Security</strong> Studies, ETH Zurich, 2006.<br />
Commission of the European Communities, Proposal for a Regulation of the European<br />
Parliament and of the Council: Establishing the European Network and <strong>Information</strong><br />
<strong>Security</strong> Agency, COM(2003)63 final, Brussels, 2003.<br />
Commission of the European Communities, Critical Infrastructure Protection in the<br />
Fight against Terrorism, Brussels, October 2004, COM(2004)702 final.<br />
Commission of the European Communities, Green Paper on a European Programme<br />
for Critical Infrastructure Protection, Brussels, November 2005, COM(2005)576 final.<br />
Commission of the European Communities, Proposal for a Directive of the Council on<br />
the identification and designation of European Critical Infrastructure and the assessment<br />
of the need to improve their protection, COM(2006)787 final, Brussels, 2006.<br />
Commission of the European Communities, A European Programme for Critical Infrastructure<br />
Protection, Brussels, December 2006, COM(2006)786 final.<br />
Egan M., “Anticipating Future Vulnerability: Defining Characteristics of Increasingly<br />
Critical Infrastructure-like Systems”, Journal of Contingencies and Crisis Management,<br />
Vol. 15, No. 1, pp. 4-17, March 2007.<br />
Ekengren M., Matzen N., Svantesson M., The new <strong>Security</strong> Role of the European Union:<br />
Transectional Crisis Management and the Protection of Union Citizens, National<br />
Defense Council, Sweden, March 2006.<br />
Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emergency<br />
Management Australia, January 2003.<br />
Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emergency<br />
Management Australia, January 2003.<br />
[ENISA-07] A Collection of Good Practice for CERT Quality Assurance, Deliverable WP2007/<br />
2.4.9 (CERT-D3), 2007 (www.enisa.europa.eu/cert_goodPractices/pages/04_02.htm).<br />
[EU-05]<br />
[Ham-05]<br />
[Hen-04]<br />
[HSC-07]<br />
Green Paper on a European Programme for Critical Infrastructure Protection, Commission<br />
of the European Communities, COM(2005) 576 final, Brussels, November 17,<br />
2005.<br />
Hammerli B., “C(I)IP Task Description and a Proposal for a Substitute of National C(I)<br />
IP Policies”, in Proc. of the 1 st IEEE International Workshop on Critical Infrastructure<br />
Protection (IWCIP ‘05), pp. 51-61, 2005.<br />
Henauer M., “Critical <strong>Information</strong> Infrastructure Protection: A Swiss Approach”, in<br />
Proc. of the Workshop on Critical Infrastructure Protection and Civil Emergency Planning:<br />
Dependable Structures, Cybersecurity and Common Standards, Centre for International<br />
<strong>Security</strong> Policy, Bern, 2004.<br />
National Strategy for Homeland <strong>Security</strong>, Homeland <strong>Security</strong> Council, USA, October<br />
2007.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
263
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
[IBM-01]<br />
[ICS-02]<br />
[IRGC-07]<br />
IBM, Creating an infrastructure for e-Government: enabling government innovation,<br />
IBM Public Sector, September 2001.<br />
<strong>Information</strong> and Communication Sector, National Strategy for Critical Infrastructure<br />
and Cyberspace <strong>Security</strong>, USA, May 2002.<br />
International Risk Governance Council, Managing and reducing social vulnerabilities<br />
from coupled critical infrastructures, IRGC White Paper, Geneva, 2007.<br />
[ISO-13335] <strong>Information</strong> technology - <strong>Security</strong> techniques - Management of information and communications<br />
technology security, Part 1: Concepts and models for IκαιCT security management,<br />
ISO/IEC 13335-1:2004, ISO, 2004.<br />
[ISO-13335] <strong>Information</strong> technology - <strong>Security</strong> techniques - Management of information and communications<br />
technology security, Part 1: Concepts and models for information and<br />
communications technology security management, ISO/IEC 13335-1:2004, ISO, 2004.<br />
[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/ IEC Guide 73:<br />
2002, ISO, 2002.<br />
[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/IEC Guide 73:<br />
2002, ISO, 2002.<br />
[IST-08]<br />
[Kro-06]<br />
[Lui-06]<br />
[Mal-97]<br />
IST, CI 2 RCO, Critical <strong>Information</strong> Infrastructure Research co-ordination, ICT RκαιD<br />
for CICIP: Towards a European Research Agenda, Deliverable D12, The CI 2 RCO<br />
Consortium, May 2008.<br />
Kröger W., Critical Infrastructures at Risk: A Need for a New Conceptual Approach<br />
and Extended Analytical Tools, Swiss Federal Institute of Technology Zurich (ETH),<br />
Lisbon, September 2006.<br />
Luiijf E., Threat Taxonomy for Critical Infrastructures and Critical Infrastructure:<br />
Risk Aspects at EU-level, Vital Infrastructures Threats and Assurance (VITA) Project<br />
(PASR-2004-004400), Deliverable D1.2, July 2006.<br />
Malpass K., Harrington K., Elliott D., Soo Hoo K., Goodman S., Workshop on Protecting<br />
and Assuring Critical National Infrastructure, Center for International <strong>Security</strong><br />
and Arms Control, Stanford University, March 1997.<br />
[Mcaf-07] McAfee North America Criminology Report, Organized crime and the Internet 2007”,<br />
www.mcafee.com/us/local_content/reports/mcafee_criminology_report2007_en.pdf<br />
[NCIA-04] National Critical Infrastructure Assurance Program, Canada, 2004.<br />
[NIAC-04]<br />
[NIPC-01]<br />
[NIST-02]<br />
[NIST-02]<br />
National Infrastructure Advisory Council, Best Practices for Government to Enhance<br />
the <strong>Security</strong> of National Critical Infrastructures, Final Report and Recommendations<br />
by the Council, USA, April 2004.<br />
US National Infrastructure Protection Center, Cyber Protests: The Threat to the US <strong>Information</strong><br />
Infrastructure, USA, October 2001.<br />
Risk Management Guide for <strong>Information</strong> Technology Systems, NIST Special Publication<br />
800-30, National Institute for Standards and Technology, USA, July 2002.<br />
Risk Management Guide for <strong>Information</strong> Technology Systems, NIST Special Publication<br />
800-30, National Institute for Standards and Technology, USA, July 2002.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
264
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
[Obe-06]<br />
[OECD-02]<br />
[Rah-05]<br />
[Rie-07]<br />
[Ryt-07]<br />
[Ser-08]<br />
[SSC-06]<br />
[Sut-07]<br />
[USA-00]<br />
[USA-01]<br />
[USA-03a]<br />
[USA-03b]<br />
[USA-03c]<br />
Oberoi S., Developing National <strong>Information</strong> Infrastructure Protection Policy – The<br />
Role of the Government, Dept. of Communications, IT and the Arts, Australia, 2006.<br />
“OECD Guidelines for the <strong>Security</strong> of <strong>Information</strong> Systems and Networks: Towards<br />
a Culture of <strong>Security</strong>”, OECD 2002.<br />
Rahman S., “Critical <strong>Information</strong> Infrastructure Protection: Overview of the RκαιD in<br />
the US”, in Proc. of the Workshop on Critical <strong>Information</strong> Infrastructure Protection,<br />
Research and Development, Czech Republic, September 2005.<br />
Riegel C., Risk Assessment and Critical Infrastructure Protection in Health Care Facilities:<br />
Reducing Social Vulnerability, Summer Academy 2007, U.N. University, Institute<br />
for Environment and Human <strong>Security</strong> (UNU-EHS), 2007.<br />
Rytz R., “Reporting and Analysis Centre for <strong>Information</strong> Assurance MELANI, International<br />
Telecommunication Union (ITU), February 2007.<br />
Servida A., “<strong>Security</strong> and Resilience in <strong>Information</strong> Society: Towards a CICIP Policy<br />
in the EU”, ENISA Workshop, March 2008.<br />
State Services Commission, Enabling Transformation: A strategy for e-Government<br />
2006, New Zealand, November 2006<br />
Suter M., A Generic National Framework for Critical <strong>Information</strong> Infrastructure Protection,<br />
Center for <strong>Security</strong> Studies, ETH Zurich, August 2007.<br />
US White House, Defending America’s Cyberspace, National Plan for <strong>Information</strong> Systems<br />
Protection, v 1.0, USA, 2000.<br />
US White House, Report of the President of the US on the status of Federal Critical Infrastructure<br />
Protection Activities, USA, January 2001.<br />
US White House, The National Strategy for the Physical Protection of Critical Infrastructures<br />
and Key Assets, USA, February 2003.<br />
US White House, The National Strategy for Homeland <strong>Security</strong>, Office of Homeland<br />
<strong>Security</strong>, USA, July 2003.<br />
US White House, The National Strategy for the Physical Protection of Critical Infrastructures<br />
and Key Assets, USA, 2003.<br />
[USA-03d] US White House, The National Strategy to Secure Cyberspace, USA, February 2003.<br />
[USA-05a] US White House, National Infrastructure Protection Plan, USA, 2005.<br />
[USA-05b]<br />
US White House, Cyber <strong>Security</strong>: A Crisis of Prioritization, Report to the President,<br />
USA, February 2005.<br />
[USA-06] US White House, National Infrastructure Protection Plan, USA, 2006.<br />
[USA-07]<br />
[Wen-02]<br />
US White House, The National Strategy for Homeland <strong>Security</strong>, Homeland <strong>Security</strong><br />
Council, USA, October 2007.<br />
Wenger A., Metzger J., Dunn M., The International CICIP Handbook, Vol. 1: An Inventory<br />
of Protection Policies in Eight Countries, Center for <strong>Security</strong> Studies, ETH<br />
Zurich, 2002.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
265
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ακρωνύμια<br />
Στην ελληνική γλώσσα<br />
ΑΔΑΕ<br />
ΑΠ<br />
ΑΠΠΔ<br />
ΑΠΕΔ<br />
ΓΕΕΘΑ<br />
ΓΛΚ<br />
ΔΔ<br />
EE<br />
ΕΕΤΤ<br />
ΕΛΑΣ<br />
ΕΥΠ<br />
ΕΦΤΑ<br />
MKO<br />
ΗΕ<br />
ΗΠΑ<br />
K-M<br />
MME<br />
ΟΟΣΑ<br />
ΟΠΣΝΑ<br />
ΠΣ<br />
ΠΣΕΑ<br />
ΣΔΙΤ<br />
ΣΤΥ<br />
ΤΠΕ<br />
ΥΑΠ<br />
ΥΔΤ<br />
ΥΜΕ<br />
ΥΠΕ<br />
ΥΠΕΣ<br />
ΥΠΟΙΟ<br />
Αρχή Διασφάλισης Απορρήτου Επικοινωνιών<br />
Αρχή Πιστοποίησης<br />
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα<br />
Αρχή Πιστοποίησης Ελληνικού Δημοσίου<br />
Γενικό Επιτελείο Εθνικής Άμυνας<br />
Γενικό Λογιστήριο του Κράτους<br />
Δημόσια Διοίκηση<br />
Ευρωπαϊκή Ένωση<br />
Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων<br />
ΕΛληνική ΑΣτυνομία<br />
Εθνική Υπηρεσία Πληροφοριών<br />
Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης<br />
Μη Κυβερνητικοί Οργανισμοί<br />
Ηνωμένα Έθνη<br />
Ηνωμένες Πολιτείες Αμερικής<br />
Κράτη-Μέλη<br />
ΜικροΜεσαίες Επιχειρήσεις<br />
Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης<br />
Ολοκληρωμένα Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων<br />
Πληροφοριακά Συστήματα<br />
Πολιτική Σχεδίαση Έκτακτης Ανάγκης<br />
Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα<br />
Σύμβουλος Τεχνικής Υποστήριξης<br />
Τεχνολογίες Πληροφορικής και Επικοινωνιών<br />
Υπηρεσία Ανάπτυξης Πληροφορικής<br />
Υπουργείο Δημόσιας Τάξης<br />
Υπουργείο Μεταφορών & Επικοινωνιών<br />
Υποδομές Πληροφορικής και Επικοινωνιών<br />
Υπουργείο Εσωτερικών<br />
ΥΠουργείο ΟΙκονομίας & Οικονομικών<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
266
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Στην αγγλική γλώσσα<br />
AB<br />
AFP<br />
AGD<br />
AGIMO<br />
AHTCC<br />
AIVD<br />
AKSIS<br />
ARECI<br />
ASIO<br />
AS/NZS<br />
AusCERT<br />
BBK<br />
BCP-DRP<br />
BCS<br />
BfV<br />
BKA<br />
BMI<br />
BMJ<br />
BMVg<br />
BMWA<br />
BND<br />
BPOL<br />
BSI<br />
BZK<br />
CA<br />
CATS<br />
CBRNE<br />
CCIP<br />
CCB<br />
CCS<br />
CERT<br />
CERT-Bund<br />
CERT-NL<br />
CERT-Verbund<br />
CESG<br />
Advisory Board<br />
Australian Federal Police<br />
Australian Attorney-General’s Department<br />
Australian Government <strong>Information</strong> Management Office<br />
Australian High Tech Crime Centre<br />
Dutch General Intelligence and <strong>Security</strong> Service<br />
German Working Group on Infrastructure Protection<br />
Availability and Robustness of Electronic Communications Infrastructures<br />
Australian <strong>Security</strong> Intelligence Organisation<br />
Australian/New Zealand Standard<br />
Australian Computer Emergency Response Team<br />
German Federal Office for Civil Protection και Disaster Response<br />
Business Continuity Plan – Disaster Recovery Plan<br />
British Computer Society<br />
German Federal Office for the Protection of the Constitution<br />
German Federal Criminal Police Agency<br />
German Federal Ministry of Interior<br />
German Federal Ministry of Justice<br />
German Federal Ministry of Defense<br />
German Federal Ministry of Economics και Labour<br />
German Federal Intelligence Service<br />
German Federal Police<br />
German Federal Office for <strong>Information</strong> <strong>Security</strong><br />
Dutch Ministry of Interior and Kingdom Relations<br />
Coordination Action<br />
Swedish Center for Asymmetric Threat Studies<br />
Chemical, Biological, Radiological, Nuclear or Explosives<br />
New Zealand Centre for Critical Infrastructure Protection<br />
Closed Customer Base<br />
UK Civil Contingencies Secretariat<br />
Computer Emergency Response Team<br />
German CERT<br />
Dutch CERT for higher education and research organizations<br />
German CERT-Network<br />
UK Communications Electronic <strong>Security</strong> Group<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
267
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
CFAA<br />
CI<br />
CICI<br />
CII<br />
CIOS<br />
CIP<br />
CIWIN<br />
CLUSIS<br />
CSIA<br />
CSIS<br />
CSIRT<br />
CYCO<br />
CSEC<br />
CIDDAC<br />
CNI<br />
CICIP<br />
CERT/CC<br />
CICIP<br />
CoI<br />
CEA<br />
CBA<br />
CTEPA<br />
CCIRC<br />
CIAO<br />
CCIPS<br />
CIAC<br />
CSIAAG<br />
<strong>CIS</strong>E<br />
CIO<br />
DHS<br />
DESS<br />
DSD<br />
DTI<br />
DCITA<br />
DSO<br />
DG JLS<br />
US Computer Fraud and Abuse Act<br />
Critical Infrastructure<br />
Critical <strong>Information</strong> και Communication Infrastructure<br />
Critical <strong>Information</strong> Infrastructure<br />
Swedish National Center for IO/CIP Studies<br />
Critical Infrastructure Protection<br />
Critical Infrastructure Warning <strong>Information</strong> Network<br />
Swiss non-profit organisation<br />
UK Central Sponsor for <strong>Information</strong> Assurance<br />
Canadian <strong>Security</strong> Intelligence Service<br />
Computer <strong>Security</strong> Incident Response Team<br />
Swiss Coordination Unit for Cybercrime Control<br />
Swedish Certification Body for IT SECurity<br />
US Cyber Incident Detection και Data Analysis Center<br />
Critical National Infrastructure<br />
Critical <strong>Information</strong> Infrastructure Protection<br />
US CERT Coordination Center<br />
Critical <strong>Information</strong> και Communication Infrastructure Protection<br />
Community of Interest<br />
Canadian Electricity Association<br />
Canadian Bankers Association<br />
Canadian Telecommunications Emergency Preparedness Association<br />
Canadian Cyber Incident Response Centre<br />
US Critical Infrastructure Assurance Office<br />
US Computer Crime and Intellectual Property Section<br />
Critical Infrastructure Advisory Council<br />
Communications Sector Infrastructure Assurance Advisory Group<br />
Computer και <strong>Information</strong> Science and Engineering<br />
Chief <strong>Information</strong> Officer<br />
US Department of Homeland <strong>Security</strong><br />
New Zealand Domestic and External Secretariat<br />
Australian Defense Signals Directorate<br />
UK Department of Trade and Industry<br />
Australian Department of Communications, <strong>Information</strong> Technology and the Arts<br />
New Zealand Departmental <strong>Security</strong> Officer<br />
Directorate General “Justice, Law και <strong>Security</strong>”<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
268
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
DOTARS<br />
DFAT<br />
DFS<br />
deNIS<br />
DDPS<br />
ESCG<br />
ESNA<br />
EAG<br />
ENISA<br />
EZ<br />
ESRAB<br />
EPCIP<br />
ESRP<br />
ESRIF<br />
ECI<br />
EC<br />
ECP.NL<br />
EFD<br />
FOITT<br />
FedPol<br />
FEMA<br />
FedCIRC<br />
FBI<br />
FOI<br />
FOI/<strong>CIS</strong>U<br />
FP<br />
FRA<br />
FACA<br />
FMV<br />
FOIA<br />
FIRST<br />
FIRST<br />
GetSafeOnline<br />
GOC<br />
GoL<br />
GCSB<br />
Australian Department Of Transport <strong>And</strong> Regional Services<br />
Australian Department of Foreign Affairs and Trade<br />
Swedish <strong>Information</strong> Processing Society<br />
German Emergency Preparedness <strong>Information</strong> System<br />
Swiss Federal Department of Defense, Civil Protection, and Sports<br />
Australian E-<strong>Security</strong> Coordination Group<br />
Australian E-<strong>Security</strong> National Agenda<br />
Expert Advisory Group<br />
European Network και <strong>Information</strong> <strong>Security</strong> Agency<br />
Dutch Ministry of Economic Affairs<br />
European <strong>Security</strong> Research Advisory Board<br />
European Programme for Critical Infrastructure Protection<br />
European <strong>Security</strong> Research Program<br />
European <strong>Security</strong> Research and Innovation Forum<br />
European Critical Infrastructure<br />
European Commission<br />
Electronic Commerce Platform NetherLands<br />
Swiss Federal Department of Finance<br />
Swiss Federal Office of IT, Systems and Telecommunication<br />
Swiss Federal Office of Police<br />
US Federal Emergency Management Agency<br />
US Federal Computer Incident Response Center<br />
US Federal Bureau of Investigation<br />
Swedish Defense Research Agency<br />
FOI/Critical Infrastructure Studies Unit<br />
Framework Programme<br />
Swedish National Defense Radio Establishment<br />
US Federal Advisory Committee Act<br />
Swedish Defense Materiel Administration<br />
US Freedom Of <strong>Information</strong> Act<br />
Forum of Incident Response and <strong>Security</strong> Teams<br />
Forum of Incident Response και <strong>Security</strong> Teams<br />
UK PPP<br />
Canadian Government Operations Center<br />
Canadian Government-on-Line policy<br />
New Zealand Government Communications <strong>Security</strong> Bureau<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
269
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
GAO<br />
US Government Accountability Office<br />
GCHQ UK Government Communications HeadQuarters<br />
G8 Group of Eight (8)<br />
GOVCERT.NL Dutch Government CERT<br />
GRNET Greek Research & Technology Network<br />
HSPD<br />
US Homeland <strong>Security</strong> Presidential Directive<br />
HSEO<br />
US Homeland <strong>Security</strong> Executive Orders<br />
HERT<br />
Dutch Hacking Emergency Response Team<br />
IAIP/ICD US IAIP/Infrastructure Coordination Division<br />
IO<br />
<strong>Information</strong> Operations<br />
ICS<br />
New Zealand Interdepartmental Committee on <strong>Security</strong><br />
IAIP/NCSD US IAIP/National Cyber <strong>Security</strong> Division<br />
IAIP/PSD US IAIP/Protective Services Division<br />
IAIP/NCS US IAIP/National Communications System Division<br />
ITAC<br />
Integrated Threat Assessment Centre<br />
IAAC<br />
UK <strong>Information</strong> Assurance Advisory Council<br />
IAAG<br />
Infrastructure Assurance Advisory Group<br />
IAIP<br />
US <strong>Information</strong> Analysis and Infrastructure Protection Directorate of DHS<br />
IST<br />
Swedish Institute for Signals Intelligence and Technical <strong>Information</strong><br />
IIPG<br />
Australian <strong>Information</strong> Infrastructure Protection Group<br />
ISAC<br />
<strong>Information</strong> Sharing and Analysis Center<br />
Itsafe<br />
UK IT <strong>Security</strong> Awareness For Everyone<br />
ISIDRAS <strong>Information</strong> <strong>Security</strong> Incident Detection Reporting και Analysis Scheme<br />
ITSEAG <strong>Information</strong> <strong>Security</strong> Expert Advisory Group<br />
IST<br />
<strong>Information</strong> Society Technologies<br />
IT<br />
<strong>Information</strong> Technology<br />
ISB<br />
Swiss Federal Strategy Unit for <strong>Information</strong> Technology<br />
ITAA<br />
<strong>Information</strong> Technology Association of America<br />
I3P<br />
US Institute for <strong>Information</strong> Infrastructure Protection<br />
ICT<br />
<strong>Information</strong> και Communication Technologies<br />
IABG<br />
IndustrieAnlagen-BetriebsGesellschaft<br />
JIIPR<br />
Canadian Joint Infrastructure Interdependencies Research Program<br />
KLPD<br />
The Netherlands Police Agency<br />
MoD<br />
UK Ministry Of Defense<br />
MS<br />
Member States<br />
MOD-CERT UK Ministry Of Defense Computer Emergency Response Team<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
270
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
MELANI<br />
Mcert<br />
NACOTEL<br />
NCTP<br />
NCSP<br />
NITAS<br />
NCC<br />
NHTCU<br />
NCIAP<br />
NGOs<br />
NSAC<br />
NCO-T<br />
NSF<br />
NISCC<br />
NCI<br />
NES/ICT-I<br />
NSD<br />
NATO<br />
NIPC<br />
NIST<br />
NES<br />
NDMS<br />
NERS<br />
NZSIT<br />
NZSA<br />
NHTCC<br />
NSSC<br />
NIPP<br />
NZSIS<br />
NIAC<br />
NCSA<br />
NERC<br />
NPB<br />
NGOs<br />
NPSI<br />
ODESC<br />
Swiss Reporting and Analysis Center for <strong>Information</strong> Assurance<br />
German CERT for SMEs<br />
Dutch National Continuity Plan for TELecommunications<br />
Australian National Counter-Terrorism Plan<br />
National Cyber <strong>Security</strong> Partnership<br />
Australian National <strong>Information</strong> Technology Alert Service<br />
Dutch National Coordination Center<br />
UK National High Tech Crime Unit<br />
Canadian National Critical Infrastructure Assurance Program<br />
Νon-Governmental Organizations<br />
UK National <strong>Security</strong> Advice Centre<br />
Dutch National Continuity Consultation Platform Telecommunications<br />
US National Science Foundation<br />
UK National Infrastructure <strong>Security</strong> Coordination Centre<br />
National Critical Infrastructure<br />
NES/ICT Infrastructure Unit<br />
Swedish Industry <strong>Security</strong> Delegation<br />
North Atlantic Treaty Organisation<br />
US National Infrastructure Protection Center<br />
US National Institute of Standards και Technology<br />
Swiss Federal Office for National Economic Supply<br />
Canadian National Disaster Mitigation Strategy<br />
Canadian National Emergency Response System<br />
New Zealand <strong>Security</strong> of <strong>Information</strong> Technology<br />
New Zealand <strong>Security</strong> Association<br />
Dutch National High-Tech Crime Center<br />
US National Strategy to Secure Cyberspace<br />
US National Infrastructure Protection Plan<br />
New Zealand <strong>Security</strong> Intelligence Service<br />
US National Infrastructure Advisory Council<br />
US National Cyber <strong>Security</strong> Alliance<br />
North American Electricity Reliability Council<br />
Swedish National Police Board<br />
Non-Governmental Organizations<br />
German National Plan for the Protection of <strong>Information</strong> Infrastructures<br />
New Zealand Officials Committee for Domestic and External <strong>Security</strong> Co-ordination<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
271
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
OCB<br />
OFCOM<br />
OCICIP<br />
OASD/NII<br />
OECD<br />
OST<br />
PMκαιC<br />
PPO<br />
PKI<br />
PPP<br />
P<strong>CIS</strong><br />
PTS<br />
PSYOPS<br />
PASR<br />
PSEPC<br />
PSG<br />
PCCIP<br />
PDD<br />
PG AG KRITIS<br />
RCMP<br />
R&D<br />
RISEPTIS<br />
RegTP<br />
SCADA<br />
SME<br />
SWITCH<br />
SWITCH-CERT<br />
SONIA<br />
SEMA<br />
SÄPO<br />
SITIC<br />
SC<br />
SOVI<br />
TERENA<br />
TI<br />
Open Customer Base<br />
Swiss Federal Office for Communication<br />
US Office of Computer Investigation and Infrastructure Protection<br />
US Office of the Assistant Secretary of Defense for Networks and <strong>Information</strong> Integration<br />
Organisation for Economic Co-operation and Development<br />
UK Office for Science and Technology<br />
Australian Department of the Prime Minister και Cabinet<br />
US Planning and Partnership Office<br />
Public Key Infrastructure<br />
Public Private Partnership<br />
US Partnership for Critical Infrastructure <strong>Security</strong><br />
Swedish National Post and Telecom Agency<br />
Psychological Warfare<br />
Preparatory Action on <strong>Security</strong> Research<br />
Public Safety και Emergency Preparedness Canada<br />
Permanent Stakeholder’s Group<br />
US President’s Commission on Critical Infrastructure Protection<br />
US Presidential Decision Directive<br />
German Task Force/Project Group for Critical Infrastructure Protection<br />
Royal Canadian Mounted Police<br />
Research & Technnological Development<br />
Research and Innovation for <strong>Security</strong>, Privacy and Trustworthiness in the <strong>Information</strong><br />
Society<br />
German Regulatory Agency for Telecommunications και Post<br />
Supervisory Control and Data Acquisition<br />
Small-Medium Enterprise<br />
Swiss Education and Research Network (SWITCH)<br />
Swiss CERT<br />
Swiss Special Task Force ON <strong>Information</strong> Assurance<br />
Swedish Emergency Management Agency<br />
Swedish <strong>Security</strong> Service<br />
Swedish IT Incident Centre<br />
Steering Committee<br />
Dutch Critical Infrastructure Strategic Consultation Group<br />
Trans-European Research and Education Networking Association<br />
Trusted Introducer<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
272
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
TISN<br />
TSA<br />
TNO<br />
UN<br />
UNIRAS<br />
US<br />
UK<br />
VκαιW<br />
VROM<br />
VWS<br />
WG<br />
WARP<br />
ZES<br />
Australian Trusted <strong>Information</strong> Sharing Network<br />
Swedish National Communications <strong>Security</strong> Group<br />
The Netherlands Organization for Applied Scientific Research<br />
United Nations<br />
UK Unified Incident Reporting and Alert Scheme<br />
United States<br />
United Kingdom<br />
Dutch Ministry of Transport, Public Works, and Water Management<br />
Dutch Ministry of Housing, Spatial Planning, and the Environment<br />
Dutch Ministry of Health, Welfare and Sports<br />
Working Group<br />
Warning, Advice and Reporting Point<br />
German Center for Strategic Studies<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
273
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
#<br />
Παραρτήματα<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
274
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΑΡΑΡΤΗΜΑ Α: Ερωτηματολόγια<br />
Ερωτηματολόγιο Ε1<br />
Πάροχοι/Ανάδοχοι Υποδομών και Υπηρεσιών<br />
προς τη Δημόσια Διοίκηση<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
275
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Οργάνωση Ασφάλειας Πληροφοριών<br />
1. Διαθέτει ο οργανισμός σας ένα σαφώς καθορισμένο οργανωτικό σχήμα Διαχείρισης Ασφάλειας Πληροφοριών;<br />
(ενδέχεται να είναι ένα τμήμα/ υπηρεσία/διεύθυνση…)<br />
Ναι – μετάβαση στις ερωτήσεις 1α-β<br />
Όχι – μετάβαση στην ερώτηση 2<br />
1α. Ποιος είναι το μοντέλο Διαχείρισης Ασφάλειας Πληροφοριών στον οργανισμό σας ? [Επιλέξτε<br />
μόνο ένα]<br />
Κεντρικοποιημένο (Centralized) – π.χ. αποκλειστική διαχείριση όλων των σχετικών<br />
δραστηριοτήτων από το τμήμα / υπηρεσία / διεύθυνση<br />
Κατανεμημένο (Decentralized) – π.χ. εκχώρηση μέρους δραστηριοτήτων σε άλλα<br />
τμήματα / διευθύνσεις / του ίδιου οργανισμού<br />
Άλλο<br />
1β. Σε ποιο βαθμό η Διαχείριση Ασφάλειας Πληροφοριών ενσωματώνεται στη συνολική<br />
Διαχείριση Κινδύνων του οργανισμού σας; [Επιλέξτε μόνο ένα]<br />
Πλήρης ενσωμάτωση με τη συνολική Διαχείριση Κινδύνων του οργανισμού (π.χ.<br />
τακτές συναντήσεις, συμφωνημένη υιοθέτηση πλαισίων, ομάδες εργασίας και<br />
παρακολούθησης, κλπ)<br />
Μερική ενσωματωμένη με τη συνολική Διαχείριση Κινδύνων του οργανισμού<br />
Δεν υπάρχει ενσωμάτωση – η Διαχείριση Ασφάλειας Πληροφοριών είναι ανεξάρτητη<br />
από τη συνολική Διαχείριση Κινδύνων του οργανισμού<br />
2. Λήφθηκαν υπόψη θέματα ασφάλειας στις κάτωθι δραστηριότητες κατά τους τελευταίους 12 μήνες; Εάν<br />
ναι, ο χαρακτήρας των σχετικών παρεμβάσεων ήταν περισσότερο προληπτικού ή κατασταλτικού χαρακτήρα;<br />
(proactive vs reactive)<br />
Δραστηριότητα<br />
Προστασία πνευματικής ιδιοκτησίας<br />
Βελτίωση των παρεχόμενων υπηρεσιών ή<br />
προϊόντων<br />
Κανονιστικές υποχρεώσεις του τομέα<br />
(industry compliance)<br />
Βελτίωση λειτουργίας των συστημάτων<br />
πληροφορικής<br />
Θέματα<br />
Ασφάλειας<br />
δεν<br />
λήφθηκαν<br />
υπόψη<br />
Ναι, θέματα Ασφάλειας<br />
λήφθηκαν υπόψη<br />
Χαρακτήρας παρέμβασης<br />
περισσότερο<br />
προληπτικά<br />
περισσότερο<br />
κατασταλτικά<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
276
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Δραστηριότητα<br />
Βελτίωση της εταιρικής εικόνας και της<br />
εμπιστοσύνης των χρηστών των υπηρεσιών<br />
Συμμόρφωση με τις πολιτικές και τις<br />
διαδικασίες του ομίλου<br />
Ιδιωτικότητα και προστασία δεδομένων<br />
Θέματα<br />
Ασφάλειας<br />
δεν<br />
λήφθηκαν<br />
υπόψη<br />
Ναι, θέματα Ασφάλειας<br />
λήφθηκαν υπόψη<br />
Χαρακτήρας παρέμβασης<br />
περισσότερο<br />
προληπτικά<br />
περισσότερο<br />
κατασταλτικά<br />
Κανονιστικές υποχρεώσεις<br />
3. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες<br />
πρακτικές και μέτρα ασφάλειας τους τελευταίους 12 μήνες. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες<br />
κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες πρακτικές και μέτρα ασφάλειας τους επόμενους<br />
12 μήνες. Σημειώστε εάν υπάρχουν έργα ασφάλειας σε εξέλιξη για τις κατηγορίες που επιλέξατε.<br />
Τύποι Κανονιστικών Πλαισίων<br />
Στους<br />
τελευταίους<br />
12 μήνες<br />
Στους<br />
επόμενους<br />
12 μήνες<br />
Έργα Ασφάλειας<br />
Πληροφοριών σε<br />
εξέλιξη<br />
Εσωτερικός Έλεγχος (π.χ. Sarbanes-Oxley,<br />
EU 8 th Directive κλπ.)<br />
Προστασία Δεδομένων (νόμοι περί<br />
προστασίας προσωπικών δεδομένων,<br />
ιδιωτικότητα δεδομένων επικοινωνιών κλπ.)<br />
Τομεακά κανονιστικά πλαίσια (π.χ. PCI<br />
Data <strong>Security</strong> Standard)<br />
Προστασία πνευματικής ιδιοκτησίας<br />
Κύρια Θέματα Ασφάλειας<br />
4. Επιλέξτε τα τρία (3) κυριότερα θέματα ασφάλειας που έχουν εντοπιστεί σαν τα πλέον σημαντικά. Υπάρχει<br />
κάποιο πλάνο αντιμετώπισής τους;<br />
Θέμα Ασφάλειας<br />
Σημαντικό<br />
θέμα<br />
ασφάλειας<br />
Τώρα<br />
Πλάνο Αντιμετώπισης<br />
Στους<br />
επόμενους<br />
12 μήνες<br />
Δεν υπάρχει<br />
πλάνο<br />
Radio Frequency Identifiers (RFID)<br />
Κινητό υπολογίζειν (πχ. PDA, smart phones)<br />
Διαχείριση Ψηφιακών Δικαιωμάτων (Digital<br />
Rights Management)<br />
Κινητά αποθηκευτικά μέσα (πχ. USB flash<br />
drive, portable drives)<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
277
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Θέμα Ασφάλειας<br />
Σημαντικό<br />
θέμα<br />
ασφάλειας<br />
Τώρα<br />
Πλάνο Αντιμετώπισης<br />
Στους<br />
επόμενους<br />
12 μήνες<br />
Δεν υπάρχει<br />
πλάνο<br />
Τηλεφωνία μέσω Διαδικτύου (Voice-over-IP<br />
telephony)<br />
Εφαρμογές Διαδικτύου<br />
Web Services<br />
Ασύρματα δίκτυα<br />
Υπηρεσίες Messaging (πχ. Instant messaging,<br />
email)<br />
Νέα λειτουργικά συστήματα (πχ. Vista)<br />
Κρυπτογράφηση του e-mail<br />
Κρυπτογράφηση του σκληρού δίσκου<br />
Πρακτικές Ασφάλειας Πληροφοριών στον οργανισμό σας<br />
5. Με ποιο τρόπο ελέγχετε το επίπεδο ασφάλειας του οργανισμού σας; [επιλέξτε όλες τις επιλογές που ι-<br />
σχύουν]<br />
Εσωτερικός έλεγχος (Internal Audit)<br />
Εξωτερικός / οικονομικός έλεγχος (External Audit)<br />
Ανεξάρτητη αποτίμηση από τρίτο μέρος (π.χ. ΑΠΠΔ, ΑΔΑΕ, SAS 70)<br />
Εσωτερική αποτίμηση με ίδιους πόρους<br />
Άλλο ____________________________________<br />
6. Επιλέξτε τις πέντε (5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους σπουδαιότητας (1 =<br />
μικρής σπουδαιότητας, 5 = ύψιστης σπουδαιότητας) για τον οργανισμό σας. Ανεξάρτητα επιλέξτε τις πέντε<br />
(5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους απαιτούμενου χρόνου υλοποίησης<br />
για τον οργανισμό σας (1 = ελάχιστος χρόνος υλοποίησης, 5 = μέγιστος χρόνος υλοποίησης):<br />
Συμμόρφωση (Compliance)<br />
Συνέχεια Λειτουργιών (Business continuity management)<br />
Διαχείριση ασφάλειας κινδύνων πληροφορικής<br />
Προμήθεια, ανάπτυξη και συντήρηση πληροφοριακών<br />
συστημάτων<br />
Διαχείριση πρόσβασης<br />
Διαχείριση επικοινωνιών και λειτουργιών<br />
Σπουδαιότητα<br />
Απαιτούμενος<br />
χρόνος υλοποίησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
278
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φυσική ασφάλεια<br />
Προστασία ανθρώπινου δυναμικού<br />
Διαχείριση πόρων πληροφορικής<br />
Οργάνωση ασφάλειας πληροφοριών<br />
Πολιτική ασφάλειας<br />
Στρατηγική ασφάλειας<br />
Αποτίμηση κινδύνων πληροφοριακών συστημάτων<br />
Ιδιωτικότητα<br />
Δυνατότητα καταλογισμού ευθύνης (accountability)<br />
Σπουδαιότητα<br />
Απαιτούμενος<br />
χρόνος υλοποίησης<br />
Οργάνωση Ασφάλειας<br />
7. Με ποιο τρόπο αντιμετωπίζετε τα κάτωθι θέματα ασφάλειας πληροφοριών στον οργανισμό σας;<br />
Θέματα ασφάλειας πληροφοριών:<br />
Δεν<br />
αντιμετωπίζεται<br />
Άτυπες<br />
πρακτικές 64<br />
Τυπικές<br />
πρακτικές 65<br />
Ενσωμάτωση πρακτικών ασφάλειας<br />
κατά την ανάπτυξη των εφαρμογών<br />
πληροφορικής<br />
Διαχείριση περιστατικών ασφάλειας<br />
(συμπεριλαμβανομένης της<br />
αποκάλυψης προσωπικών δεδομένων)<br />
Πλάνο Συνέχειας Λειτουργιών<br />
Διαχείριση κινδύνων από τρίτα μέρη,<br />
συμπεριλαμβανομένης της εκχώρησης<br />
λειτουργιών σε τρίτα μέρη (outsourcing)<br />
Σύγκλιση λογικής και φυσικής<br />
ασφάλειας (convergence)<br />
Εκπαίδευση και ενημέρωση<br />
Ιδιωτικότητα και προστασία<br />
προσωπικών δεδομένων<br />
8. Κατά τη συνεργασία με τρίτα μέρη (π.χ. εκχώρηση λειτουργιών – outsourcing, ανάπτυξη εφαρμογών,<br />
κλπ.), ποια από τα επόμενα απαιτείτε ως μέρος των διαδικασιών/πρακτικών διαχείρισης κινδύνων των<br />
προμηθευτών/συνεργατών σας;<br />
64 Μη καταγεγραμμένες πρακτικές που εφαρμόζονται.<br />
65 Καταγεγραμμένες πρακτικές που εφαρμόζονται.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
279
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Οι προμηθευτές/συνεργάτες διαθέτουν και εφαρμόζουν πολιτικές και διαδικασίες ασφάλειας<br />
πληροφοριών και προστασίας της ιδιωτικότητας<br />
Οι προμηθευτές/συνεργάτες έχουν τη δυνατότητα να υποστηρίξουν τις πολιτικές, διαδικασίες<br />
και πρότυπα του οργανισμού σας<br />
Ένα ανεξάρτητο τρίτο μέρος έχει αποτιμήσει με βάση βέλτιστες πρακτικές (best practices) τις<br />
πολιτικές και διαδικασίες ασφάλειας πληροφοριών και προστασίας της ιδιωτικότητας των<br />
προμηθευτών/συνεργατών<br />
Οι προμηθευτές / συνεργάτες είναι πιστοποιημένοι (π.χ. ISO 27001 κλπ.)<br />
Αποτίμηση Επικινδυνότητας<br />
9. Έχει διεξαχθεί μια άσκηση Αποτίμηση Επικινδυνότητας;<br />
Ναι – μετάβαση στην ερώτηση 9α<br />
Όχι – μετάβαση στην ερώτηση 10.<br />
9α. Από την παρακάτω λίστα των πρακτικών/μεθόδων Αποτίμησης Επικινδυνότητας, βαθμολογήστε<br />
την αποτελεσματικότητα της προσέγγισης που υιοθετήσατε:<br />
Πρακτικές/Μέθοδοι Αποτίμησης Επικινδυνότητας<br />
Πραγματοποιήθηκε Αποτίμηση Επικινδυνότητας υψηλού<br />
επιπέδου (σε επίπεδο οργανισμού/ομίλου κλπ.) που κάλυπτε<br />
θέματα ασφάλειας και ιδιωτικότητας<br />
Διεξάγεται περιοδικά κατηγοριοποίηση των<br />
πληροφοριακών αγαθών με βάση τις αρχές της<br />
εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας<br />
Διεξάγεται περιοδικά άσκηση εντοπισμού και διαχείρισης<br />
απειλών και αδυναμιών (Threat and Vulnerability<br />
Identification and Management)<br />
Η διαδικασία Αποτίμησης Επικινδυνότητας αξιοποιεί τα<br />
αποτελέσματα των ασκήσεων εντοπισμού και διαχείρισης<br />
απειλών και αδυναμιών, ενώ επίσης συνυπολογίζει και τις<br />
επιχειρησιακές επιπτώσεις προκειμένου να καθορίσει τους<br />
κινδύνους ασφάλειας πληροφοριών<br />
Οι διαδικασίες Αποτίμησης Επικινδυνότητας<br />
χρησιμοποιούνται σαν έρεισμα για επιπρόσθετες<br />
επενδύσεις σε θέματα ασφάλειας.<br />
Αποτιμήσεις επιπέδου συμμόρφωσης διεξάγονται<br />
προκειμένου να καλυφθούν εταιρικές (corporate),<br />
κανονιστικές (regulatory) ή τομεακές (industry) απαιτήσεις.<br />
Εφαρμόζονται συστηματικές μεθοδολογίες Αποτίμησης<br />
Επικινδυνότητας Formal risk assessment methodologies<br />
applied (πχ. OCTAVE,CRAMM)<br />
Αποτελεσματικότητα<br />
Λιγότερο … Περισσότερο<br />
1 2 3 4 5<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
280
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Αναφορές<br />
10. Ποια είναι η συχνότητα ενημέρωσης στα παρακάτω θέματα ασφάλειας από τον υπεύθυνο (τμήμα/διεύθυνση/…)<br />
προς τις παρακάτω αναφερόμενες εταιρικές δομές;<br />
Συχνότητα<br />
Προς την Εκτελεστική Διοίκηση (board of<br />
directors) ή αντίστοιχο όργανο<br />
Αναφορά των περιστατικών ασφάλειας του<br />
οργανισμού<br />
Κάθε<br />
μήνα<br />
Κάθε<br />
τρίμηνο<br />
Κάθε<br />
εξάμηνο Ετησίως<br />
Ποτέ<br />
Αναφορά προόδου των κύριων έργων ασφάλειας<br />
του οργανισμού<br />
Αναφορά του επιπέδου συμμόρφωσης<br />
(compliance) του οργανισμού<br />
Προς τους υπεύθυνους τμημάτων / διοικητικών<br />
μονάδων<br />
Αναφορά των περιστατικών ασφάλειας του<br />
οργανισμού<br />
Αναφορά προόδου των κύριων έργων ασφάλειας<br />
του οργανισμού<br />
Αναφορά του επιπέδου συμμόρφωσης<br />
(compliance) του οργανισμού<br />
Εκπαίδευση<br />
11. Τι τύπου προγράμματα εκπαίδευσης και ενημέρωσης σχετικά με ασφάλεια προσφέρονται από τον οργανισμό<br />
σας στις κάτωθι ομάδες προσωπικού; [επιλέξτε όλες τις επιλογές που ισχύουν]<br />
Ομάδα<br />
Γενικές ομάδες χρηστών<br />
Επίπτωση<br />
Θεμάτων<br />
Ασφάλειας<br />
στον<br />
οργανισμό<br />
Πολιτικές και<br />
Διαδικασίες<br />
Ασφάλειας<br />
Διαχείριση<br />
Περιστατικών<br />
Ασφάλειας<br />
Ιδιωτικότητα<br />
και Προστασία<br />
Προσωπικών<br />
Δεδομένων<br />
Προσωπικό τμήματος /<br />
διεύθυνσης πληροφορικής<br />
Προσωπικό ασφάλειας<br />
πληροφοριών<br />
Εκτελεστική Διοίκηση<br />
Άλλες εμπλεκόμενες ομάδες<br />
(π.χ. Εσωτερικός Έλεγχος,<br />
Νομικό τμήμα)<br />
Ειδικές ομάδες χρηστών (π.χ.<br />
Εξυπηρέτηση Πελατών,<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
281
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ομάδα<br />
Πωλήσεις, Marketing)<br />
Επίπτωση<br />
Θεμάτων<br />
Ασφάλειας<br />
στον<br />
οργανισμό<br />
Πολιτικές και<br />
Διαδικασίες<br />
Ασφάλειας<br />
Διαχείριση<br />
Περιστατικών<br />
Ασφάλειας<br />
Ιδιωτικότητα<br />
και Προστασία<br />
Προσωπικών<br />
Δεδομένων<br />
Πρότυπα Ασφάλειας και Διαχείρισης Κινδύνων<br />
12. Ποια από τα κάτωθι πρότυπα έχει υιοθετήσει και εφαρμόσει ο οργανισμός σας;<br />
Υιοθέτηση και<br />
Εφαρμογή<br />
ISO/IEC 17799:2005<br />
ISO/IEC 27001<br />
<strong>Information</strong> <strong>Security</strong> Forum<br />
CobIT<br />
<strong>Information</strong> Technology Infrastructure Library (ITIL)<br />
Capability Maturity Model Integration (CMMI)<br />
Τίποτε από τα παραπάνω<br />
Άλλο ------------------------------<br />
Σύγκλιση Λογικής και Φυσικής Ασφάλειας<br />
13. Ποια είναι η τρέχουσα κατάσταση όσον αφορά τις κάτωθι δραστηριότητες ασφάλειας στον οργανισμό<br />
σας;<br />
Δραστηριότητα<br />
Ισχύει /<br />
υλοποίηση<br />
σε εξέλιξη<br />
Υλοποίηση<br />
στους<br />
επόμενους 12<br />
μήνες<br />
Δεν<br />
υλοποιείται<br />
Παροχή φυσικής πρόσβασης με χρήση σχετικών<br />
συστημάτων και διαδικασιών (π.χ. απλές κάρτες<br />
πρόσβασης)<br />
Χρήση συστημάτων αυθεντικοποίησης για φυσική<br />
πρόσβαση (π.χ. proximity cards, biometrics)<br />
Χρήση συστημάτων παρακολούθησης για φυσική και<br />
λογική πρόσβαση από μια κεντρική κονσόλα<br />
Χρήση εξοπλισμού για παρακολούθηση της φυσικής<br />
πρόσβασης στο IP δίκτυο<br />
14. Ποιες από τις παρακάτω περιοχές ασφάλειας ανήκουν στην υπευθυνότητα του υπεύθυνου Ασφάλειας<br />
Πληροφοριών (ή αντίστοιχου ρόλου) στον οργανισμό σας; [επιλέξτε όλες τις επιλογές που ισχύουν].<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
282
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φυσική ασφάλεια<br />
Συνέχεια Λειτουργιών<br />
Ασφάλεια Προσωπικού<br />
Υγεία και Προστασία Προσωπικού (Health and safety)<br />
Συμμόρφωση (Compliance)<br />
Διαχείριση Κινδύνων (Risk Management)<br />
Διαχείριση Συνέχειας Λειτουργιών (Business Continuity Management) και Ανάκαμψη από<br />
Καταστροφές (Disaster Recovery)<br />
15. Ποιες από τις ακόλουθες δράσεις σχετικά με τη Διαχείριση Συνέχειας Λειτουργιών έχουν ληφθεί υπόψη<br />
στην ανάπτυξη των Πλάνων Συνέχειας Λειτουργιών (Business Continuity Plans - BCPs) ; [επιλέξτε όλες<br />
τις επιλογές που ισχύουν].<br />
Δράσεις Διαχείρισης Συνέχειας Λειτουργιών<br />
Αποτίμηση Επικινδυνότητας πληροφοριών<br />
Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact Analysis – BIA) για να αποτιμηθεί η<br />
επίπτωση ενός περιστατικού συνέχειας λειτουργιών στον οργανισμό<br />
Εντοπισμός και κατηγοριοποίηση των κρίσιμων επιχειρησιακών διαδικασιών<br />
Χρόνοι ανάκαμψης δηλώνονται ρητά στα SLAs και στις συμφωνίες με τους κύριους παρόχους<br />
υπηρεσιών / προμηθευτές<br />
Οι χρόνοι ανάκαμψης έχουν ρητά συμφωνηθεί με τα εμπλεκόμενα τμήματα<br />
Οι διαδικασίες αποτίμησης της σοβαρότητας των περιστατικών έχουν οριστεί ρητά<br />
Σχέδια δράσης για ανάκαμψη των κρίσιμων επιχειρησιακών διεργασιών<br />
Έλεγχος του πλάνου<br />
Στρατηγική διαχείρισης της εσωτερικής / εξωτερικής επικοινωνίας του συμβάντος<br />
Διαχείριση Κρίσεων<br />
Άλλο<br />
16. Τα Πλάνα Συνέχειας Λειτουργιών περιλαμβάνουν ειδικά πλάνα και προετοιμασία για μια κρίση που καλύπτει<br />
μια ολόκληρη γεωγραφική περιοχή (πιθανά με παγκόσμιο εύρος) όπως τρομοκρατική επίθεση,<br />
τσουνάμι κλπ.;<br />
Ναι – υπάρχουν συγκεκριμένα πλάνα και προβλέψεις<br />
Όχι – αλλά εκτιμάται ότι τα τρέχοντα Πλάνα Συνέχειας Λειτουργιών είναι επαρκή και στην<br />
εμφάνιση κάποιου τέτοιου περιστατικού<br />
Όχι – δεν έχουν προβλεφθεί παρόμοια περιστατικά στα Πλάνα Συνέχειας Λειτουργιών<br />
17. Ποια είναι η πιο πρόσφατη δοκιμή (ή εφαρμογή) του Πλάνου Συνέχειας Λειτουργιών σας;<br />
Μέσα στο τελευταίο έτος<br />
Μέσα στα τελευταία 2 έτη<br />
Περισσότερο από 2 έτη<br />
Δεν ελέγχθηκε ή εφαρμόστηκε<br />
18. Ποιες από τις ακόλουθες δράσεις έχουν ληφθεί υπόψη στην ανάπτυξη των Πλάνων Ανάκαμψης από<br />
Καταστροφές (Disaster Recovery Plans - DRPs); [επιλέξτε όλες τις επιλογές που ισχύουν].<br />
Τα πλάνα περιλαμβάνουν διαδικασία αντικατάστασης του Διευθ. Συμβούλου σε περίπτωση<br />
μη διαθεσιμότητάς του<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
283
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Εκπαίδευση εφεδρικού προσωπικού για διεξαγωγή επειγόντων δραστηριοτήτων (emergency<br />
tasks)<br />
Τοποθεσίες εκτός κρίσης έχουν προβλεφθεί για τη Διοίκηση προκειμένου να σχεδιαστεί<br />
επαρκώς η αντιμετώπιση της κρίσης<br />
Ασκήσεις αντίδρασης σε επείγοντα περιστατικά με συμμετοχή όλου του προσωπικού<br />
(συμπεριλαμβανομένης και της Διοίκησης)<br />
Οι ασκήσεις αντίδρασης σε επείγοντα περιστατικά είναι αρκούντως ρεαλιστικές έτσι ώστε να<br />
προσομοιωθεί επαρκώς μια κατάσταση κρίσης<br />
Διεξάγονται ασκήσεις επικοινωνίας της κρίσης με το προσωπικό, τους πελάτες και τρίτα<br />
μέρη<br />
Υπάρχει διαθέσιμος εφεδρικός εξοπλισμός τηλεπικοινωνιών σε περίπτωση μη λειτουργίας<br />
των τηλεφωνικών δικτύων<br />
Υπάρχουν συμφωνίες με τοπικές αρχές και ομάδες αντιμετώπισης καταστροφών<br />
(Πυροσβεστική, Αστυνομία, ιατρικές ομάδες) οι οποίες έχουν γνώση του οργανισμού σας<br />
και έχουν άμεση ανταπόκριση σε κλήσεις σε περίπτωση κρίσης<br />
Τα Πλάνα Ανάκαμψης από Καταστροφή ελέγχονται με επαρκή συχνότητα προκειμένου να<br />
βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού σας (τεχνολογίες,<br />
προσωπικό και εγκαταστάσεις)<br />
Συμβάσεις Διασφάλισης Ποιότητας της Παρεχόμενης Υπηρεσίας (Service Level Agreements, SLA)<br />
19. Ποιες από τα ακόλουθα σημεία έχουν ληφθεί υπόψη στην ανάπτυξη των SLA; [επιλέξτε όλες τις επιλογές<br />
που ισχύουν].<br />
Σαφής ορισμός της παρεχόμενης υπηρεσίας<br />
Σαφής περιγραφή του τρόπου με τον οποίο παρέχεται η εν λόγω υπηρεσία<br />
Ορισμός ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας<br />
(διαθεσιμότητα, απόδοση, χρόνοι απόκρισης, κλπ.)<br />
Ορισμός υπεύθυνου για τον έλεγχο της επάρκειας της παρεχόμενης υπηρεσίας<br />
Ορισμός ποινών για αποτυχία παροχής του αναμενόμενου επιπέδου υπηρεσίας<br />
Σύνδεση με Πλάνα Συνέχειας Λειτουργιών (BCP) και/ή Πλάνα Ανάκαμψης από<br />
Καταστροφές (DRP)<br />
Παροχή επαρκούς υποστήριξης (π.χ. Help Desk) για την ανάκαμψη της υπηρεσίας<br />
Ορισμός επαρκούς διαδικασίας για την επικαιροποίηση του SLA<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
284
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ερωτηματολόγιο Ε2<br />
Πάροχοι Υπηρεσιών Δημόσιας Διοίκησης<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
285
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Πληροφοριακή / Επικοινωνιακή Υποδομή:<br />
1) Παρακαλώ σημειώστε ποιες από τις βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκησης<br />
66,2 παρέχει η πληροφοριακή/επικοινωνιακή υποδομή. Σημειώστε επίσης την εκτίμησή<br />
σας για το επίπεδο εξέλιξης της κάθε υπηρεσίας με βάση την παρακάτω κλίμακα:<br />
1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες<br />
2. Μονόδρομη Επικοινωνία (downloading εντύπων)<br />
3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση)<br />
4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής)<br />
5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών)<br />
ΥΠΗΡΕΣΙΕΣ<br />
ΠΡΟΣ ΤΟΥΣ<br />
ΠΟΛΙΤΕΣ<br />
Υπηρεσία<br />
Φόρος Εισοδήματος<br />
(δήλωση, ειδοποίηση<br />
εκκαθάρισης)<br />
Υπηρεσίες αναζήτησης<br />
εργασίας<br />
Εισφορές κοινωνικής<br />
ασφάλισης<br />
Προσωπικά έγγραφα<br />
(διαβατήρια, άδειες<br />
οδήγησης)<br />
Έκδοση οικοδομικής άδειας<br />
Δημόσιες βιβλιοθήκες<br />
(διαθεσιμότητα, εργαλεία<br />
αναζήτησης)<br />
Πιστοποιητικά (έκδοση,<br />
παραλαβή)<br />
Ανώτατη εκπαίδευση<br />
Υπηρεσίες υγείας<br />
(διαθεσιμότητα, ραντεβού)<br />
Άλλη υπηρεσία:<br />
Άλλη υπηρεσία:<br />
Άλλη υπηρεσία:<br />
Παρέχεται<br />
()<br />
Επίπεδο<br />
εξέλιξης<br />
Αριθμός<br />
χρηστών<br />
66<br />
2<br />
European Commission, eGovernment Factsheets, “eGovernment in Greece”, ver. 9, December 2007.<br />
Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”,<br />
Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
286
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΥΠΗΡΕΣΙΕΣ<br />
ΠΡΟΣ ΤΙΣ<br />
ΕΠΙΧΕΙΡΗΣΕΙΣ<br />
Εισφορές κοινωνικής<br />
ασφάλισης για τους<br />
εργαζομένους<br />
Φόρος επιχειρήσεων<br />
(δήλωση, ειδοποίηση<br />
εκκαθάρισης)<br />
ΦΠΑ επιχειρήσεων<br />
(δήλωση, ειδοποίηση<br />
εκκαθάρισης)<br />
Έναρξη επιχείρησης<br />
Υποβολή στοιχείων σε<br />
στατιστικές υπηρεσίες<br />
Περιβαλλοντικές άδειες<br />
Άλλη υπηρεσία:<br />
Άλλη υπηρεσία:<br />
2) Η υποδομή/υπηρεσία που παρέχετε εξαρτάται από άλλες υποδομές/υπηρεσίες τρίτων; Ποιος<br />
είναι ο τύπος της εξάρτησης από κάθε διασυνδεδεμένη υποδομή/ΟΠΣ (πχ. παροχή δικτυακής<br />
σύνδεσης, hosting εξοπλισμού, ανταλλαγή δεδομένων; Πως διασφαλίζετε τη διαθεσιμότητα<br />
και ασφαλή λειτουργία τους; Συμπληρώστε κατάλληλα τον παρακάτω πίνακα.<br />
Διασυνδεδεμένη<br />
Υποδομή/ΟΠΣ<br />
Τύπος εξάρτησης<br />
Παρατηρήσεις<br />
3) Ποιο είναι το υφιστάμενο επίπεδο ασφάλειας πληροφοριών/συστημάτων (<strong>Information</strong> <strong>Security</strong>)<br />
στον οργανισμό σας (επιλέξετε όσες απαντήσεις θεωρείτε ότι περιγράφουν την υφιστάμενη<br />
κατάσταση στον οργανισμό σας);<br />
1. Όχι σαφώς προσδιορισμένο <br />
2. Έχει εκπονηθεί μελέτη ασφάλειας <br />
3. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (εν μέρει) <br />
4. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (πλήρως) <br />
5. Υπάρχει ειδική ομάδα/υπηρεσία για τα θέματα ασφάλειας <br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
287
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
6. Πραγματοποιούνται τακτικοί εσωτερικοί έλεγχοι<br />
του επιπέδου ασφάλειας<br />
<br />
7. Πραγματοποιούνται τακτικοί έλεγχοι ασφάλειας<br />
(από εξωτερικό/ ανεξάρτητο φορέα)<br />
<br />
8. Υπάρχει Σχέδιο Συνέχειας/Ανάκαμψης (BCP/DRP) <br />
9. Πραγματοποιούνται έλεγχοι/δοκιμές του Σχεδίου<br />
Συνέχειας Λειτουργίας/Ανάκαμψης Συστημάτων<br />
<br />
10. Άλλο (παρακαλώ περιγράψτε) <br />
………………………………………………………………………………………<br />
4) Περιλαμβάνονται στις συμβατικές υποχρεώσεις προς τους πελάτες σας όροι που αφορούν<br />
στην ασφάλεια; Παρακαλώ περιγράψτε.<br />
………………………………………………………………………………………………<br />
5) Υπάρχουν υπηρεσίες τις οποίες παρέχετε μέσω άλλων φορέων; Σε αυτή την περίπτωση,<br />
υπάρχουν συμφωνητικά παροχής υπηρεσιών (Service Level Agreements – SLA) τα οποία<br />
περιλαμβάνουν και όρους σχετικά με το επίπεδο ασφάλειας των πληροφοριών που<br />
επεξεργάζονται οι συνεργαζόμενοι φορείς; Παρακαλώ περιγράψτε.<br />
………………………………………………………………………………………………<br />
6) Ο οργανισμός τον οποίο στελεχώνετε, υπόκειται στην εφαρμογή Κανονιστικού / πλαισίου<br />
κάποιας ρυθμιστικής / εποπτικής αρχής;<br />
1. Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) <br />
2. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) <br />
3. Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) <br />
4. Άλλη ρυθμιστική / εποπτική Αρχή (παρακαλώ αναφέρατε) <br />
………………………………………………………………………………………<br />
7) Παρακαλώ συμπληρώστε στον παρακάτω πίνακα, επιλέγοντας τις τιμές τις οποίες θεωρείτε<br />
κατάλληλες για να περιγράψουν τις επιπτώσεις που θα επιφέρει η μη λειτουργία της πληροφοριακής\δικτυακής<br />
υποδομής του οργανισμού σας, η οποία χρησιμοποιείται στην παροχή<br />
υπηρεσιών Δημόσιας Διοίκησης.<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
288
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Αριθμός<br />
επηρεαζόμενων<br />
χρηστών<br />
Οικονομική<br />
Επίπτωση ( € )<br />
Γεωγραφική<br />
εμβέλεια<br />
Αλληλεξάρτηση<br />
Ανάκαμψη<br />
(χρόνος, κόστος)<br />
Αντίδραση της<br />
κοινής γνώμης<br />
Εφαρμογή<br />
πολιτικής και<br />
λειτουργία ΔΔ<br />
Προσωπική<br />
ασφάλεια<br />
Αποκάλυψη<br />
προσωπικών-<br />
/εμπιστευτικών<br />
δεδομένων<br />
Επιρροή στην<br />
άποψη του<br />
κοινού για τις<br />
ΤΠΕ/ΠΕΥ<br />
Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής<br />
>100,000<br />
<br />
> 100 εκ<br />
<br />
Διεθνής<br />
<br />
Καταλυτική ε-<br />
πίδραση σε άλλες<br />
υποδομές-<br />
/τομείς<br />
<br />
Υψηλό κόστος<br />
σε πολλούς τομείς,<br />
μακρύς<br />
χρόνος ανάκαμψης<br />
(μήνες -<br />
χρόνια)<br />
<br />
Διεθνής<br />
αποδοκιμασία<br />
<br />
Σοβαρή παρεμπόδιση<br />
ή διακοπή<br />
της αναπτυξης/εφαρμογής<br />
κυβερνητικών<br />
πολιτικών<br />
<br />
Απώλεια πολλών<br />
ανθρώπινων<br />
ζωών<br />
<br />
Αποκάλυψη<br />
απόρρητων<br />
κυβερνητικών<br />
δεδομένων<br />
<br />
Απαξίωση των<br />
ΤΠΕ/ΠΕΥ από<br />
το κοινωνικό<br />
σύνολο<br />
<br />
10,000-100,000<br />
<br />
10 – 100 εκ<br />
<br />
Εθνική<br />
<br />
Σημαντική επίδραση<br />
σε άλλες<br />
υποδομές/τομείς<br />
<br />
Υψηλό κόστος,<br />
υψηλός απαιτούμενος<br />
χρόνος ανάκαμψης<br />
(βδομάδες<br />
– μήνες)<br />
<br />
Περιορισμός<br />
κυβερνητικής<br />
αξιοπιστίας σε<br />
διεθνές επίπεδο<br />
<br />
Υποβάθμιση<br />
της διαπραγματευτικής<br />
και<br />
συναλλακτικής<br />
δυνατότητας<br />
της κυβέρνησης<br />
<br />
Απώλεια<br />
ανθρώπινης<br />
ζωής<br />
<br />
Παραβίαση νομοθεσίας<br />
και<br />
σοβαρή ενόχληση<br />
πολλών<br />
προσώπων<br />
<br />
Αρνητικός<br />
επηρεασμός του<br />
κοινωνικού<br />
συνόλου<br />
<br />
1,000-10,000<br />
<br />
1 – 10 εκ<br />
<br />
Περιφερειακή<br />
<br />
Μέτρια επίδραση<br />
σε άλλες υ-<br />
ποδομές/τομείς<br />
<br />
Μέσο κόστος,<br />
σημαντικός<br />
χρόνος ανάκαμψης<br />
(μέρες -<br />
βδομάδες)<br />
<br />
Μετριασμός<br />
κυβερνητικής<br />
αξιοπιστίας σε<br />
εθνικό επίπεδο<br />
<br />
Παρεμπόδιση<br />
της αποτελεσματικής<br />
ανάπτυξης/εφαρμογής<br />
κυβερνητικών<br />
πολιτικών<br />
<br />
Σοβαρός τραυματισμός<br />
πολλών<br />
προσώπων<br />
<br />
Παραβίαση νομοθεσίας<br />
και<br />
σοβαρή ενόχληση<br />
ενός προσώπου<br />
<br />
Κλονισμός της<br />
εμπιστοσύνης<br />
του κοινωνικού<br />
συνόλου<br />
<br />
100-1,000<br />
<br />
100 χιλ – 1 εκ<br />
<br />
Τοπική<br />
(πολλοί φορείς)<br />
<br />
Μικρή επίδραση<br />
σε άλλες υ-<br />
ποδομές/τομείς<br />
<br />
Χαμηλό<br />
κόστος, μικρός<br />
απαιτούμενος<br />
χρόνος ανάκαμψης<br />
(ώρες -<br />
μέρες)<br />
<br />
Αρνητική<br />
δημοσιότητα<br />
κυβερνητικών<br />
οργανισμών/<br />
φορέων<br />
<br />
Υπονόμευση<br />
της σωστής<br />
διαχείρισης ή<br />
λειτουργίας ΔΥ<br />
<br />
Μικροτραυματι<br />
σμοί πολλών<br />
προσώπων<br />
<br />
Μικρή<br />
ενόχληση<br />
πολλών<br />
προσώπων<br />
<br />
Απογοήτευση<br />
επιμέρους ομάδων<br />
του<br />
πληθυσμού<br />
<br />
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Ερωτηματολόγιο Ε4<br />
Εποπτικοί/Ρυθμιστικοί Φορείς<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
290
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
1) Υπάρχει στην Ελλάδα Εποπτικός Οργανισμός ο οποίος να έχει το ρόλο της Εποπτείας των<br />
Πολιτικών Ασφαλείας και Ιδιωτικότητας των Πληροφοριακών Συστημάτων των Δημοσίων<br />
Οργανισμών;<br />
ΝΑΙ ΟΧΙ <br />
2) Αν ΝΑΙ, αναφέρατε τον Εποπτικό Οργανισμό:<br />
…………………………………………………………………………………………..<br />
3) Αν ΟΧΙ, ποιόν Οργανισμό (ρυθμιστική ή εποπτική Αρχή) θεωρείτε ως τον καταλληλότερο<br />
για να αναλάβει αυτόν τον ρόλο;<br />
i. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2) <br />
ii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2)<br />
iii. Δημιουργία νέου Εθνικού Εποπτικού Σχήματος: ΝΑΙ ΟΧΙ <br />
<br />
iv. Αν ΝΑΙ, με τι μορφή και αρμοδιότητες; Τι συνέργειες θα πρέπει να αναπτύξει με άλλους<br />
ρυθμιστικούς/εποπτικούς φορείς;<br />
…………………………………………………………………………………………..<br />
4) Η ΕΥΠ (ΥΠΕΣ) λειτουργεί ως (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως<br />
υπεύθυνη του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινωνιών<br />
και των Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του<br />
Διαβαθμισμένου Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστική<br />
πλαισίωση του εθνικού μας CERT θα γίνει από:<br />
i. Την ίδια την ΕΥΠ: ΝΑΙ ΟΧΙ <br />
ii. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2) <br />
iii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2) <br />
……………………………………………………………………………………………..<br />
5) Ποιό προτείνετε ως Οργανωτικό Σχήμα του Εθνικού μας CERT ώστε να επιτύχει την αποτελεσματική<br />
επικοινωνία με: (α) τους Εποπτικούς Φορείς, (β) τους Δημόσιους Οργανισμούς<br />
που φιλοξενούν Πληροφοριακά Συστήματα, και (γ) με άλλα Ευρωπαϊκά CERT;<br />
……………………………………………………………………………………………..<br />
6) Στους Πίνακες 1 και 2 παρουσιάζονται συνοπτικά οι Δημόσιοι Φορείς που λειτουργούν ως:<br />
(α) Ρυθμιστικοί/Κανονιστικοί και (β) Εποπτικοί.<br />
(δεν αναφέρονται οι φορείς που έχουν ενημερωτικό ρόλο)<br />
iv. Συμφωνείτε με την συγκεκριμένη αποτύπωση: ΝΑΙ ΟΧΙ <br />
v. Αναφέρετε τυχόν φορείς που έχουν κατά τη γνώμη σας παραλειφθεί<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
291
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Φορέας<br />
Πεδίο δράσης<br />
Ρόλος<br />
vi. Σχολιάστε όπως νομίζετε τους Πίνακες 1 και 2 (πχ. τυχόν διορθώσεις, παραλείψεις ανά<br />
φορέα κλπ.).<br />
Πίνακας 1: Εποπτικοί/Κανονιστικοί Φορείς Ασφάλειας στην Ελλάδα<br />
Φορέας Πεδίο δράσης Ρόλοι<br />
ΓΕΕΘΑ<br />
ΕΥΠ<br />
ΕΛΑΣ<br />
Υπουργείο<br />
Μεταφορών<br />
και<br />
Επικοινωνιών<br />
Τράπεζα<br />
Ελλάδος<br />
Δ/νση Πολιτικής<br />
Σχεδίασης<br />
Έκτακτης<br />
Ανάγκης/ΥΠΕΣ<br />
Υπηρεσία Ανάπτυξης<br />
Πληροφορικής<br />
ΥΠΕΣ<br />
Υπουργείο<br />
Δημόσιας<br />
Τάξης<br />
Υπουργείο<br />
Εσωτερικών<br />
Έκδοση εθνικών<br />
κανονισμών<br />
ασφαλείας<br />
Ασφάλεια Εθνικών<br />
Επικοινωνιών-Πληροφορικής<br />
(σύνταξη<br />
κανονισμών,<br />
πιστοποίηση<br />
συστημάτων)<br />
Εξέταση ψηφιακών<br />
πειστηρίων<br />
Χάραξη Πολιτικής<br />
Ασφάλειας<br />
Έκδοση συγκεκριμένων<br />
αρχών<br />
/κανονισμών<br />
ασφάλειας<br />
Σχέδια επικινδυνότητας<br />
/επιχειρησιακής<br />
συνέχειας<br />
Διαθεσιμότητα<br />
πληροφοριών<br />
στη ΔΔ/Σχέδια<br />
ανάκαμψης<br />
καταστροφών<br />
Ειδικές<br />
Αρχές<br />
Ασφάλειας<br />
ΣΥΖΕΥΞΙΣ<br />
ΑΠ<br />
INFOSEC,<br />
CERT για<br />
ΔΔ<br />
ΑΠΕΔ<br />
Χ<br />
ΣΥΖΕΥΞΙΣ<br />
ΑΠ<br />
ΣΥΖΕΥΞΙΣ<br />
ΑΠ<br />
Ρυθμίσεις,<br />
κανονισμοί<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Χ<br />
Έλεγχοι<br />
εφαρμογής<br />
θεσμικού<br />
πλαισίου<br />
Χ<br />
Χ<br />
Computer<br />
Forensics<br />
Χ<br />
Πιστοποίηση<br />
προϊόντων &<br />
υπηρεσιών<br />
ασφαλείας<br />
Χ<br />
Χ<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
292
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
Υπουργείο<br />
Υγείας<br />
Υπουργείο<br />
Οικονομίας<br />
και<br />
Οικονομικών<br />
ΣΥΖΕΥΞΙΣ<br />
ΑΠ<br />
ΣΥΖΕΥΞΙΣ<br />
ΑΠ<br />
Χ<br />
Χ<br />
ΑΠΠΔ<br />
ΑΔΑΕ<br />
ΕΕΤΤ<br />
ΕΦΤΑ<br />
Πίνακας 2: Ρυθμιστικοί/Ελεγκτικοί Φορείς Ασφάλειας<br />
Φορέας Πεδίο δράσης Ρόλοι<br />
GRNET CERT<br />
Προστασία προσωπικών<br />
δεδομένων<br />
Προστασία απορρήτου<br />
επικοινωνιών<br />
Ρύθμιση θεμάτων<br />
τηλεπικοινωνιών<br />
Πρόληψη<br />
τηλεπικοινωνιακής απάτης<br />
Υπηρεσίες ασφάλειας<br />
συστημάτων<br />
Ρυθμίσεις,<br />
κανονισμοί<br />
Έλεγχοι<br />
εφαρμογής<br />
θεσμικού<br />
πλαισίου<br />
Παροχή<br />
προϊόντων/<br />
υποδομών<br />
ασφαλείας<br />
Πιστοποίηση<br />
προϊόντων &<br />
υπηρεσιών<br />
ασφαλείας<br />
Χ Χ Χ<br />
Χ Χ Χ<br />
Χ Χ Χ Χ<br />
Χ<br />
Ακρωνύμια<br />
ΕΥΠ:<br />
Εθνική Υπηρεσία Πληροφοριών<br />
ΑΠΠΔ: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα<br />
ΑΔΑΕ: Αρχή Διασφάλισης Απορρήτου Επικοινωνιών<br />
ΕΕΤΤ: Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων<br />
ΕΦΤΑ: Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης<br />
GRNET CERT: Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας<br />
και Τεχνολογίας (ΕΔΕΤ)<br />
Χ<br />
Χ<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
293
e-Government Forum<br />
Ομάδα Εργασίας CICIP<br />
ΠΑΡΑΡΤΗΜΑ Β: Πρόγραμμα Ημερίδας<br />
Κοινωνία της Πληροφορίας Α.Ε.<br />
e-Government Forum<br />
Ομάδα Εργασίαςς για την Προστασία Κρίσιμων Πληροφοριακών<br />
και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
Ημερίδα Διαβούλευσης (10 Ιουλίου 2008)<br />
Πρόγραμμα<br />
1. Εισαγωγική Σύνοδος<br />
Καλωσόρισμα Κ. Τζοάννης Σ. Ξαρχουλάκος, Σ. Καρούσος (15’)<br />
Παρουσίαση και στόχοι Ομάδας Εργασίας Δ. Γκρίτζαλης (30’)<br />
Πρόγραμμα και σκοπός Ημερίδας Ν. Μήτρου (15’)<br />
2. Σύνοδος 1 η : Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά<br />
σχήματα και εποπτικοί φορείς στην Ελλάδα και διεθνώς<br />
Συντονιστές: Ν. Μήτρου (προεδρεύων), Δ. Πολέμη, Β. Σκουλαρίδου, Ι. Σαμπράκου<br />
Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 4 του παραδοτέου και<br />
διατύπωση βασικών ερωτημάτων από το Ε4) (15’)<br />
• Συζήτηση (40’)<br />
• Συμπεράσματα (5’)<br />
3. Σύνοδος 2 η : Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά<br />
ζητήματα Ασφάλειας<br />
Συντονιστές: Π. Κοτζανικολάου (προεδρεύων), Β. Τσούμας, Μ. Θεοχαρίδου<br />
Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 5 του παραδοτέου και<br />
διατύπωση βασικών ερωτημάτων από το Ε1) (15’)<br />
• Συζήτηση (40’)<br />
• Συμπεράσματα (5’)<br />
4. Σύνοδος 3 η : Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της<br />
Δημόσιας Διοίκησης στην Ελλάδα<br />
Συντονιστές: Δ. Γκρίτζαλης (προεδρεύων), Ν. Μήτρου, Δ. Πολέμη, Α. Ζαχαρής<br />
Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στις ιδέες της Ο.Ε. για το οργανωτικό<br />
σχήμα στην Ελλάδα)<br />
(15΄)<br />
• Συζήτηση (40’)<br />
• Συμπεράσματα (5’)<br />
5. Γενικά Συμπεράσματα - Κλείσιμο Ημερίδας<br />
Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων<br />
Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης<br />
294