43654
ΕΦΗΜΕΡΙ∆Α TΗΣ ΚΥΒΕΡΝΗΣΕΩΣ
μάτων δικτύου και πληροφοριών του για την παροχή
των βασικών υπηρεσιών του. Ο Οργανισμός οφείλει να
ενημερώνει προσηκόντως τους συνεργάτες του σχετικά
με τα τηρούμενα μέτρα για την Ασφάλεια Συστημάτων
Δικτύου και Πληροφοριών, λαμβάνοντας υπόψη τη φύση
της παρεχόμενης εργασίας, και να απαιτεί την αποδοχή,
εκ μέρους τους, της υποχρέωσης τήρησης αυτών.
3. Σε περιπτώσεις εκδήλωσης περιστατικού ασφάλειας, κάθε Οργανισμός οφείλει να συνεργάζεται κατά
τις διατάξεις του ν. 4577/2018 (Α΄ 199), με τις Αρμόδιες
Αρχές, και να εφαρμόζει τις προβλεπόμενες διαδικασίες
προς άμεση επίλυση του περιστατικού και περιορισμό
του αντίκτυπου αυτού.
Άρθρο 3
Ενιαία Πολιτική Ασφάλειας
1. Στο πλαίσιο τήρησης ενός ενιαίου ελάχιστου βασικού επιπέδου ασφάλειας των συστημάτων δικτύου και
πληροφοριών, η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ)
ορίζει τις απαιτήσεις για την εφαρμογή μιας Ενιαίας Πολιτικής Ασφάλειας. Κάθε Οργανισμός θεσπίζει, υλοποιεί και
διατηρεί επίκαιρη και καταγεγραμμένη Πολιτική Ασφαλείας σχετική με την ασφάλεια των συστημάτων δικτύου
και πληροφοριών, τα οποία υποστηρίζουν την παροχή
βασικών υπηρεσιών του φορέα. Η Πολιτική Ασφάλειας
του Οργανισμού οφείλει να καλύπτει τουλάχιστον όσα
ορίζει η Ενιαία Πολιτική Ασφάλειας. Ειδικότερα ορίζεται
ότι:
α. Η Πολιτική Ασφάλειας, οφείλει μεταξύ άλλων να
ορίζει τους στόχους ασφάλειας, να περιγράφει τη διακυβέρνηση και να παραπέμπει σε άλλες συμπληρωματικές πολιτικές, σχετικά με την ασφάλεια των συστημάτων
δικτύου και πληροφοριών του Οργανισμού.
β. Βασικοί στόχοι της Πολιτικής Ασφάλειας είναι:
• η διασφάλιση της εμπιστευτικότητας, ακεραιότητας
και διαθεσιμότητας των δεδομένων, συστημάτων και
υπηρεσιών έναντι εκούσιων ή ακούσιων απειλών
• η ικανοποίηση των νομικών και κανονιστικών απαιτήσεων σχετικών με την ασφάλεια και προστασία δεδομένων
• η επιχειρησιακή συνέχεια των βασικών υπηρεσιών
του Οργανισμού έναντι περιστατικών κυβερνοεπιθέσεων
• η ενημέρωση και η εκπαίδευση όλων των υπαλλήλων
και λοιπών εμπλεκομένων τρίτων σχετικά με την παροχή
των βασικών υπηρεσιών του Οργανισμού
• η άμεση κοινοποίηση και διαχείριση περιστατικών ή
αδυναμιών ασφαλείας.
γ. Αρμόδιοι για την εφαρμογή της Πολιτικής Ασφάλειας, είναι:
• η Διοίκηση του Οργανισμού, η οποία εγκρίνει, αναθεωρεί και είναι αρμόδια για την αποτελεσματική και
αποδοτική εφαρμογή της Πολιτικής Ασφάλειας.
• ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων,
όπως περιγράφεται στο άρθρο 6 της παρούσας, ο οποίος
επιβλέπει και συντονίζει την εφαρμογή αυτής της πολιτικής μέσω χρήσης κατάλληλων προτύπων, διαδικασιών
και διεθνών πρακτικών και λειτουργεί ως σημείο επαφής
με τους αρμόδιους φορείς
Τεύχος B’ 3739/08.10.2019
• όλο το προσωπικό και οι συμβεβλημένοι προμηθευτές, οι οποίοι ακολουθούν τις διαδικασίες για την τήρηση
της πολιτικής ασφάλειας πληροφοριών.
δ. Η Πολιτική Ασφάλειας θα πρέπει να λαμβάνει μέριμνα για την τήρηση των «Βασικών Απαιτήσεων Ασφάλειας», όπως αυτές ι��χύουν και ορίζονται από την Εθνική
Αρχή Κυβερνοασφάλειας.
Άρθρο 4
Βασικές Απαιτήσεις Ασφάλειας
Α. ΑΝΑΓΝΩΡΙΣΗ
Οι απαιτήσεις της κατηγορίας «Αναγνώριση» είναι απαραίτητες για την κατανόηση του επιχειρηματικού πλαισίου, των πόρων που υποστηρίζουν τις βασικές υπηρεσίες
και την σχετική διακινδύνευση για την ασφάλεια των
συστημάτων δικτύου και πληροφοριών και επιτρέπουν
στον Οργανισμό να εστιάσει τις προσπάθειές του και να
διαχειριστεί τους πόρους του, με αποτελεσματικό και
αποδοτικό τρόπο. Ειδικότερα θα πρέπει να πληρούνται
οι κάτωθι απαιτήσεις.
1. Επιχειρησιακό περιβάλλον
Η αποστολή, οι στόχοι, τα ενδιαφερόμενα μέρη, οι
δραστηριότητες και οι λοιπές απαιτήσεις (κανονιστικές,
νομικές, περιβαλλοντικές, συμβατικές και λειτουργικές)
του Οργανισμού που σχετίζονται με τις βασικές του υπηρεσίες, εντοπίζονται και καταγράφονται.
Αυτές οι πληροφορίες χρησιμοποιούνται ως βάση
κατά τη διεργασία διαχείρισης διακινδύνευσης σε όλα τα
σχετικά στάδια (καθορισμός απαιτήσεων, αναγνώριση,
ανάλυση, αποτίμηση και αντιμετώπιση διακινδύνευσης).
2. Διαχείριση πόρων.
Όλοι οι πόροι που απαιτούνται για την παροχή ή υποστήριξη βασικών υπηρεσιών του Οργανισμού θα πρέπει
να αναγνωρίζονται, να αναλύονται και να καταγράφονται σε κατάλληλο και ενημερωμένο κατάλογο. Αυτός
περιλαμβάνει ενδεικτικά, μεταξύ άλλων, δεδομένα, προσωπικό, δομικά στοιχεία, συσκευές, συστήματα, εγκαταστάσεις, προμηθευτές, διαδικασίες, οδηγούς χρήσης,
διαμορφώσεις κ.α.
3. Αποτίμηση διακινδύνευσης
Η διακινδύνευση για την ασφάλεια των συστημάτων
δικτύου και πληροφοριών αναγνωρίζεται, αναλύεται και
αποτιμάται μέσω κατάλληλης, τεκμηριωμένης και αποτελεσματικής διεργασίας.
4. Στρατηγική διαχείρισης διακινδύνευσης
Καθορίζονται οι προτεραιότητες, περιορισμοί, ανοχές
διακινδύνευσης και λοιπές παραδοχές οι οποίες χρησιμοποιούνται για την αιτιολόγηση των αποφάσεων σχετικά
με τα επιλεγόμενα μέτρα διαχείρισης και μετριασμού
της διακινδύνευσης για την ασφάλεια των συστημάτων
δικτύου και πληροφοριών.
5. Διαχείριση διακινδύνευσης αλυσίδας εφοδιασμού
Η διακινδύνευση που αφορά στην αλυσίδα εφοδιασμού (προμηθευτές υλικού ή υπηρεσιών) εντοπίζεται,
αξιολογείται και μετριάζεται. Ειδικότερα διασφαλίζεται,
μέσω Συμφωνιών Επιπέδου Υπηρεσιών (Service Level
Agreements - SLA) ή/και επιθεωρήσεις, ότι οι προμηθευτές εφαρμόζουν κατάλληλα και αναλογικά μέτρα
ασφάλειας.