Views
1 year ago

IT Professional Security - ΤΕΥΧΟΣ 46

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

T4608-10.2016 Issue 2. Βεβαιωθείτε ότι οι έλεγχοι κρυπτογράφησης εφαρμόζονται σωστά για την προστασία των προσωπικών και άλλων ευαίσθητων δεδομένων σύμφωνα με τις απαιτήσεις. 3. Εφαρμόστε μια διαδικασία για όλους τους χρήστες που θα πρέπει να υπογράψουν μια δήλωση ότι δεσμεύονται να χρησιμοποιήσουν μόνο λογισμικό που παρέχει η εταιρεία και ότι θα συμμορφωθούν πλήρως με όλους τους σχετικούς νόμους και κανονισμούς. 1.5. Να επιλέγει για τη διεξαγωγή της επεξεργασίας πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 1.6. Να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. 1.7. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, να πραγματοποιεί τη σχετική ανάθεση εγγράφως. 1.8. Να σέβεται τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων. 1.9. Να είναι συνεπής στις υποχρεώσεις του απέναντι στην Αρχή (γνωστοποίηση, λήψη άδειας). 1.10. Να ενημερώνεται για τις Αποφάσεις, Οδηγίες, Συστάσεις της Αρχής που τον αφορούν. 2. Εφαρμόστε τις πολιτικές και διαδικασίες προστασίας προσωπικών δεδομένων της εταιρείας σας. 3. Διατηρήστε αρχείο με όλα τα απαιτούμενα έγγραφα και ολοκληρώστε την εγγραφή της εταιρείας σας με την εθνική αρχή προστασίας των δεδομένων σας. 4. Επικοινωνήστε τα καθήκοντα του υπεύθυνου επεξεργασίας δεδομένων σε όλο το προσωπικό για να διασφαλίσετε ότι τα συστήματα πληροφορικής σας συμμορφώνεται πλήρως με την εθνική Προστασίας Δεδομένων και άλλους νόμους. Δράση 3: Προστασία Προσωπικών Δεδομένων 1. Εφαρμόστε μέτρα για την εξασφάλιση ότι τα προσωπικά δεδομένα δεν αφήνουν τα σύνορα της χώρας σας (δείτε τους σχετικούς ευρωπαϊκούς νόμους σε αυτό το τεύχος). Δράση 4: Συντήρηση Ψηφιακών Δεδομένων 1. Θεσπίστε ελέγχους για την προστασία όλων των εταιρικών αρχείων, συμπεριλαμβανομένων των ψηφιακών μέσων, βίντεο, μικροφίλμ, εκθέσεων από υπολογιστή (computergenerated reports), μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα φαξ, έγγραφα, αρχεία, κ.λπ., σε πλήρη συμμόρφωση με τους σχετικούς νόμους και κανονισμούς (φορολογικών, τελωνειακών, συντάξεων, κ.λπ.). 2. Καταστρέψτε όλα τα οργανωτικά αρχεία, μόνο όταν επίσημα όρια λήγουν και βάσει των γραπτών εγκρίσεων της εταιρείας και με τη χρήση ενός πρωτόκολλου καταστροφής. Ειδικά για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας δώστε προσοχή στην οδηγία της σχετικής αρχής. Δράση 5: Αναφορά δεδομένων σε αρχές 1. Εφαρμόστε ένα ολοκληρωμένο σύστημα υποβολής εκθέσεων συμμόρφωσης, για τη διαβίβαση των εκθέσεων προς τις αρχές όπως καθορίζονται στο εγχειρίδιο της συμμόρφωσης. 2. Εάν ελέγχεστε από την Τράπεζα της Ελλάδος, πρέπει να υποβάλλετε τις εκθέσεις με όλα τα στοιχεία περιστατικών της ασφάλειας και με το σχέδιο ελέγχου και το χρονοδιάγραμμα ελέγχου, σύμφωνα με τους σχετικούς νόμους και απαιτήσεις (π.χ. Τράπεζα της οδηγίες Ελλάδα). Δράση 6: Προστασία Πνευματικών Δικαιωμάτων 1. Εφαρμόστε, εάν απαιτείται, το μηχανογραφικό σύστημα για την υποστήριξη της διαδικασίας συμμόρφωσης της εταιρείας. 2. Βεβαιωθείτε ότι όλα τα διπλώματα ευρεσιτεχνίας της επιχείρησής σας και τα πνευματικά δικαιώματα έχει καταγραφεί από τις αρμόδιες αρχές. Αυτό πρέπει επίσης να περιλαμβάνει και διπλώματα ευρεσιτεχνίας που μπορεί να έχετε αναπτύξει στην πληροφορική (υλικού και λογισμικού). 3. Επιβεβαιωθείτε ότι έχετε νόμιμες άδειες για όλο το λογισμικό σας (ακόμη και για ότι προσφέρεται δωρεάν) και κρατεί- 40 security

IT Compliance - Ανάλυση και υλοποίηση της Συμμόρφωσης Πληροφορικής στις εταιρείες στε όλα τα στοιχεία στο μητρώο των περιουσιακών στοιχείων της πληροφορικής σας. Επίσης, βεβαιωθείτε ότι όλοι οι εργαζόμενοι έχουν υπογράψει μια δήλωση που να πιστοποιεί ότι έχουν δεσμευτεί να χρησιμοποιούν μόνο νόμιμο λογισμικό όπως έχει εγκριθεί από την εταιρεία. Δράση 7: Επιβολή Συμμόρφωσης 1. Συνδέστε τη συμμόρφωση με την απόδοση της διοίκησης και των εργαζομένων μέσω του συστήματος αμοιβών και παροχών. 2. Ενισχύστε τα πρότυπα συμμόρφωσης μέσω καλής δημοσιότητας των πειθαρχικών μέτρων ή και κατευθυντήριων οδηγιών συμμόρφωσης. Φάση Γ: Αξιολόγηση Συμμόρφωσης Δράση 1: Παρακολούθηση της εκτέλεσης Εταιρικής Συμμόρφωσης 1. Παρακολουθείστε την εκτέλεση όλων των πολιτικών και διαδικασιών Εταιρικής Συμμόρφωσης από τα προκαθορισμένα όργανα και επιτροπές της εταιρείας σας. 2. Επιβεβαιώστε ότι η εταιρεία έχει εφαρμόσει και επικοινωνήσει της εφαρμογή της Εταιρικής Διακυβέρνησης με την σχετική ανακοίνωση της Δήλωσης της. 3. Ιδιαίτερη προσοχή πρέπει να δοθεί στην παρακολούθηση, την αναθεώρηση και την επίλυση όλων των συναφών θεμάτων και προβλημάτων ασφάλειας πληροφορικής. 4. Επίσης, βεβαιωθείτε ότι όλα τα μέλη του διοικητικού συμβουλίου και όλοι οι διευθυντές της εταιρείας, καθώς και οι εργαζόμενοι, έχουν υπογεγραμμένη δήλωση τους φακέλους του προσωπικού σχετικά με τη δέσμευσή τους να τηρούν όλους τους νόμους και τους κανονισμούς (εξωτερικούς και εσωτερικούς) και να χρησιμοποιούν μόνο εγκεκριμένα από την εταιρεία εξοπλισμό και λογισμικό. Δράση 2: Αξιολόγηση της Εταιρικής Συμμόρφωσης 1. Ζητήστε την διεξαγωγή του ελέγχου εφαρμογής των πολιτικών και διαδικασιών Εταιρικής Συμμόρφωσης από τον εσωτερικό έλεγχο, και για όλες τις εταιρικές λειτουργίες. 2. Ειδικά για τη συμμόρφωση της πληροφορικής, προσέξτε τα ακόλουθα. 2.1. Για τα θέματα προστασίας προσωπικών δεδομένων ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν η εταιρεία παίρνει τα κατάλληλα μέτρα όπως ορίζονται από τον σχετικό νόμο (ν. 2472/97 και ν. 2774/99, 3471/2006), όπως για παράδειγμα: • Άρθρο 8. Διασύνδεση αρχείων • Άρθρο 9. Διασυνοριακή ροή δεδομένων προσωπι- κού χαρακτήρα • Άρθρο 10. Απόρρητο και ασφάλεια της επεξεργασίας • Άρθρο 11. Δικαίωμα ενημέρωσης • Άρθρο 12. Δικαίωμα πρόσβασης • Άρθρο 13. Δικαίωμα αντίρρησης • Άρθρο 14. Δικαίωμα προσωρινής δικαστικής προστασίας. 2.2. Για την Οργάνωση και Διοίκηση Πληροφορικής, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν το πλαίσιο Διακυβέρνησης της Πληροφορικής, περιλαμβάνει την αποτελεσματικότητα της οργάνωσης της μονάδας της Πληροφορικής και τις σχέσεις της με τους Εξωτερικούς της Συνεργάτες. 2.3. Για την Ανάπτυξη και Προμήθεια Συστημάτων, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες ασφαλούς ανάπτυξης και προμήθειας Πληροφοριακών Συστημάτων είναι επαρκείς. 2.4. Για την Λειτουργία και Υποστήριξη Συστημάτων, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες λειτουργίας των συστημάτων πληροφορικής, περιλαμβάνουν τη φυσική και λογική τους ασφάλεια, καθώς και στη διασφάλιση της συνέχειας των εργασιών της πληροφορικής. 2.5. Για τον Έλεγχο Συστημάτων Πληροφορικής, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι εργασίες του καλύπτουν την επαρκή και αποτελεσματική λειτουργία της Μονάδας Εσωτερικής Επιθεώρησης αναφορικά με τα Πληροφοριακά Συστήματα. Δράση 3: Βελτίωση της Εταιρικής Συμμόρφωσης 1. Ελέγξτε όλες τις πολιτικές και τις διαδικασίες Εταιρικής Συμμόρφωσης από τους εξωτερικούς ελεγκτές, χρησιμοποιώντας και εμπειρογνώμονες για συγκεκριμένα θέματα (π.χ. ηλεκτρονικό έγκλημα, προστασία προσωπικών δεδομένων, κ.λπ.). 2. Αναπτύξτε και εφαρμόστε διορθωτικά μέτρα για τις διαπιστωμένες παραβάσεις με βάση τις αναφορές και των 2 ελεγκτών. 3. Ενισχύστε την εταιρική συμμόρφωση με ένα νέο πρόγραμμα επικοινωνίας και προώθησης της Πολιτικής Κανονιστικής Συμμόρφωσης που καθορίζει τους κανόνες που διασφαλίζουν την συμμόρφωσης της εταιρείας σας με εθνικές, Ευρωπαϊκές και άλλες διεθνείς κατευθύνσεις (regulations) διατάξεις, συμβάσεις, νομικές υποχρεώσεις και κανονιστικά πλαίσια, και που περιλαμβάνουν και τα σχετικά με θέματα ασφάλειας πληροφορικής. ITSecurity security 41