ΑΠΟΦΑΣΗ 633Α/2005 - ΦΕΚ Β/88/26.1.2005
Κανονισμός για τη Διασφάλιση του ΑπορρήτουΔιαδικτυακών Υποδομών.
Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ
ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ)
Έχοντας υπόψη:
α. Το Ν. 3115/27.2.2003, άρθρο 1,
παραγρ. 1,
β. Το Ν. 3115/27.2.2003, άρθρο 6,
παραγρ. 1,
γ. Ότι εκ της αποφάσεως δεν
προκύπτει δαπάνη για το δημόσιο
δ. Τη σχετική εισήγηση της
Υπηρεσίας, αποφάσισε
Κατά τη συνεδρίασή της την 10η
Νοεμβρίου 2004 , την έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση του
Απορρήτου Διαδικτυακών Υποδομών.
Αρθρο 1
Σκοπός - Πεδίο Εφαρμογής
ΚΕΦΑΛΑΙΟ Ι
ΣΚΟΠΟΣ - OΡΙΣΜΟΙ
1. Σκοπός του παρόντος Κανονισμού
είναι:
(α) Η ασφάλεια των Διαδικτυακών υποδομών των παρόχων
και η διασφάλιση του απορρήτου αυτών.
(β) Η θέσπιση των υποχρεώσεων των
εν λόγω παρόχων αναφορικά με την ασφάλεια και το
απόρρητο των Διαδικτυακών τους υποδομών.
(γ) Ο έλεγχος στους εν λόγω παρόχους σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις
τους.
2. Στις διατάξεις του παρόντος
Κανονισμού εμπίπτουν όλοι οι Τηλεπικοινωνιακοί Πάροχοι
Διαδικτύου και οι Δημόσιοι Οργανισμοί και ιδιαίτερα:
(α) Πάροχοι
σταθερής και κινητής πρόσβασης στο Διαδίκτυο,
(β) Πάροχοι
Διαδικτυακών υπηρεσιών, υπηρεσιών προστιθέμενης αξίας
και υπηρεσιών εφαρμογών.
3. Ο παρών Κανονισμός συμπληρώνει
τον «Κανονισμό για τη Διασφάλιση του Απορρήτου στις Διαδικτυακές
Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές» καθώς και τον «Κανονισμό
για τη Διασφάλιση του Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου»
που προηγήθηκαν.
Αρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος
Κανονισμού ισχύουν οι ορισμοί των προαναφερθέντων Κανονισμών της ΑΔΑΕ, που επαναλαμβάνονται εδώ για λόγους πληρότητας.
Επιπρόσθετα, οι ακόλουθοι όροι έχουν την έννοια που τους αποδίδεται κατωτέρω:
Αντίγραφα ασφαλείας - Τα εφεδρικά
αντίγραφα που προκύπτουν μετά την εφαρμογή των κατάλληλων μεθόδων αντιγραφής
και σχετίζονται με τα δεδομένα διάρθρωσης των δικτυακών στοιχείων.
Απειλή (Threat)
- Κάθε άτομο, δραστηριότητα ή συμβάν που είναι δυνατόν να προκαλέσει παραβίαση
της διαθεσιμότητας, ακεραιότητας ή εμπιστευτικότητας σε οποιοδήποτε σύστημα το
οποίο χρησιμοποιείται για την παρακολούθηση, αποθήκευση, επεξεργασία, εξαγωγή,
διαβίβαση, ανακοίνωση και δημοσιοποίηση δεδομένων επικοινωνίας. Οι απειλές
μπορεί να είναι τυχαίες ή σκόπιμες και μπορεί να προέρχονται είτε από το
εσωτερικό είτε από το εξωτερικό του παρόχου.
Αποστρατιωτικοποιημένη Ζώνη (Demilitarized
Zone) - Το υποδίκτυο του παρόχου που βρίσκεται μεταξύ των εξωτερικών δικτύων (π.χ.
το Διαδίκτυο) και του έμπιστου εσωτερικού δικτύου του
παρόχου. Τυπικά σε αυτή τη ζώνη τοποθετούνται
συστήματα που παρέχουν υπηρεσίες προσβάσιμες από
οποιονδήποτε μέσω του Διαδικτύου ή άλλων εξωτερικών
δικτύων (π.χ. διακομιστές παγκόσμιου ιστού και
ηλεκτρονικού ταχυδρομείου).
Ασύμμετρη Κρυπτογραφία -
Κρυπτογραφία που στηρίζεται στη χρήση ενός ζευγαριού κλειδιών, ενός ιδιωτικού
και ενός δημόσιου. Όταν η κρυπτογράφηση γίνεται με το ένα κλειδί, η
αποκρυπτογράφηση γίνεται με το άλλο. Είναι γνωστή και ως Κρυπτογραφία Δημόσιου
Κλειδιού.
Ακεραιότητα - Ιδιότητα της
διαδικασίας ασφάλειας, με την οποία ελέγχεται αν τα δεδομένα έχουν τροποποιηθεί
ή καταστραφεί κατά μη εξουσιοδοτημένο τρόπο.
Αυξητική Αντιγραφή (incremental backup) - Αντιγραφή
μόνο των αρχείων τα οποία έχουν προστεθεί ή τροποποιηθεί πρόσφατα. Εξυπηρετεί
την επιτάχυνση της διαδικασίας αντιγραφής αφού αποθηκεύονται μόνο τα αρχεία που
έχουν αλλάξει μετά από την εκτέλεση της τελευταίας αντιγραφής.
Δεδομένα Διάρθρωσης (configuration data) - Τα
απαραίτητα στοιχεία δεδομένων που σχετίζονται με τη διάρθρωση, τον
προγραμματισμό και τη σωστή λειτουργία των δικτυακών διατάξεων του παρόχου.
Δεδομένα Θέσης - Τα δεδομένα που
υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και
υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας
διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών.
Δεδομένα Κίνησης - Τα δεδομένα που
υποβάλλονται σε επεξεργασία με σκοπό τη διαβίβαση μιας επικοινωνίας σε δίκτυο
ηλεκτρονικών επικοινωνιών ή της χρέωσής της.
Διαδικτυακές Επικοινωνίες - Υπηρεσίες
ηλεκτρονικών επικοινωνιών οι οποίες παρέχονται από δίκτυο μετάδοσης δεδομένων
και φωνής με πακετομεταγωγή το οποίο είτε έχει τη
μορφή ενδοδικτύου (Intranet)
είτε είναι ολόκληρο το Διαδίκτυο (Internet).
Διακομιστής (server)
- Πληροφοριακό σύστημα το οποίο παρέχει δεδομένα και υπηρεσίες σε άλλα υπολογιστικά
συστήματα, γνωστά ως πελάτες (clients), τα οποία
συνδέονται σε αυτόν από απόσταση και με δική τους πρωτοβουλία.
Διαμόρφωση ή Διάρθρωση (configuration) - Διαδικασία κατά την οποία αρχικοποιούνται
ή μεταβάλλονται τα δεδομένα διάρθρωσης.
Διαφορική Αντιγραφή (differential backup) - Αντιγραφή
που αποθηκεύει όλα τα αρχεία που έχουν αλλάξει από την τελευταία πλήρη
αντιγραφή. Δεν αποθηκεύει τα αρχεία της τελευταίας πλήρους αντιγραφής.
Δικτυακή Σύνοδος (session) - Η ακολουθία αλληλεπιδράσεων μεταξύ δύο άκρων
επικοινωνίας που λαμβάνει χώρα κατά τη διάρκεια μιας δικτυακής επικοινωνίας.
Δικτυακοί Πόροι - Τα συστήματα
(υπολογιστές, εξυπηρετητές, δικτυακοί κόμβοι, κ.α.) που απαρτίζουν το δίκτυο
του παρόχου ή είναι συνδεδεμένα σε αυτό, αλλά και τα
δεδομένα που αποθηκεύονται και διακινούνται καθώς και οι υπηρεσίες που
προσφέρονται από το δίκτυο του παρόχου.
Δίκτυο Ηλεκτρονικών Επικοινωνιών -
Τα συστήματα μετάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής ή
δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη μεταφορά σημάτων, με τη
χρήση καλωδίου, ραδιοσημάτων, οπτικού ή άλλου
ηλεκτρομαγνητικού μέσου, συμπεριλαμβανομένων των δορυφορικών δικτύων, των
σταθερών (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομεταγωγής,
συμπεριλαμβανομένου του Διαδικτύου) και κινητών
επίγειων δικτύων, των συστημάτων ηλεκτρικών καλωδίων, εφόσον χρησιμοποιούνται
για τη μετάδοση σημάτων, των δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές
εκπομπές, καθώς και των δικτύων καλωδιακής τηλεόρασης, ανεξάρτητα από το είδος
των μεταφερόμενων πληροφοριών.
Δοκιμαστικά Δεδομένα - Δεδομένα
που απαιτούνται από τον τηλεπικοινωνιακό εξοπλισμό του παρόχου
για την παροχή υπηρεσιών (ενδεικτικά αναφέρονται ονόματα χρήστη, αριθμοί κλήσης
κλπ.) και τα οποία είτε δεν αντιστοιχούν σε χρήστες είτε αντιστοιχούν σε
στελέχη ή / και χρήστες του οργανισμού οι οποίοι εν γνώσει τους συμμετέχουν σε
δοκιμές τηλεπικοινωνιακού εξοπλισμού (φιλικοί χρήστες).
Δοκιμές Αποδοχής - Διαδικασία
εκτέλεσης δοκιμών της λειτουργίας ενός προϊόντος ή υπηρεσίας, μέσω της οποίας
ελέγχεται κατά πόσον το προϊόν συμμορφώνεται αφενός με την περιγραφή του
κατασκευαστή και αφετέρου με τις απαιτήσεις του αγοραστή.
Δρομολογητής (router)
- Τηλεπικοινωνιακός εξοπλισμός που παρέχει υπηρεσίες δρομολόγησης δεδομένων στο
στρώμα δικτύου με βάση τη στοίβα πρωτοκόλλων του Διαδικτύου.
Εμπιστευτικότητα - Η ιδιότητα της
διαδικασίας ασφάλειας με την οποία αποτρέπεται η διάθεση ή η αποκάλυψη
πληροφοριών σε μη εξουσιοδοτημένα άτομα, οντότητες ή διεργασίες.
Εξουσιοδότηση - Η διαδικασία
χορήγησης δικαιώματος πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με βάση
την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγείται από την οντότητα που ελέγχει
τον πόρο για τον οποίο ζητείται η πρόσβαση.
Επαλήθευση Ταυτότητας (Authentication) - Οι αυτοματοποιημένες και τυποποιημένες
μέθοδοι για την πιστοποίηση της ταυτότητας του χρήστη στο Διαδίκτυο.
Αναφέρεται και ως αυθεντικοποίηση.
Επισύνδεση ή Εισβολή (Intrusion)
- Απόπειρα παραβίασης της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας
των υπολογιστικών συστημάτων και των δικτύων του παρόχου,
καθώς και προσπάθεια παράκαμψης των μηχανισμών ασφάλειας αυτών.
Ευπάθεια (vulnerability)
- Αδυναμία ή ελάττωμα στο υλικό (hardware), στο
λογισμικό (software) ή στην αρχιτεκτονική ενός
συστήματος, καθώς και στις διαδικασίες ασφαλείας που ακολουθούνται, που μπορεί
κάποιος να εκμεταλλευτεί προκειμένου να παραβιάσει τη διαθεσιμότητα,
ακεραιότητα ή εμπιστευτικότητα του εν λόγω συστήματος.
Θύρα (port)
- Ακρο μιας λογικής σύνδεσης του στρώματος μεταφοράς
όπως αυτό ορίζεται με βάση τη στοίβα πρωτοκόλλων του Διαδικτύου.
Ιός (virus)
- Στοιχείο λογισμικού το οποίο εισβάλλει σε ένα υπολογιστικό σύστημα με σκοπό
να προκαλέσει ανεπιθύμητα αποτελέσματα, όπως καταστροφή δεδομένων χρήστη,
άρνηση υπηρεσίας (denial-of-service), παραβίαση του
συστήματος ασφάλειας κτλ. Κύριο χαρακτηριστικό του είναι το γεγονός ότι
μεταδίδεται μεταξύ των υπολογιστικών συστημάτων με τη μορφή εκτελέσιμων
προγραμμάτων (executables), εγγραφών συστήματος (system or boot
records) και μακροεντολών (macros). Οι ιοί είναι δυνατόν να επιτεθούν κατά προσωπικών
υπολογιστών, διακομιστών, δρομολογητών κτλ.
Κλειδί Κρυπτογράφησης - Σειρά από bits συγκεκριμένου μήκους που χρησιμοποιείται για να
κρυπτογραφήσει ή να αποκρυπτογραφήσει τα δεδομένα σε έναν αλγόριθμο
κρυπτογράφησης.
Λογισμικό Ελέγχου - Το λογισμικό
το οποίο χρησιμοποιείται για τη διεξαγωγή ελέγχων και μετρήσεων με σκοπό τον
έλεγχο ασφάλειας δικτύου.
Λογισμικό Προστασίας από Ιούς (anti-virus software)
- Κατηγορία εφαρμογών λογισμικού που αποσκοπεί στην ανίχνευση και απομάκρυνση
ιών που έχουν προσβάλλει ένα υπολογιστικό σύστημα.
Μη Αποποίηση Ευθύνης - Διαδικασία
που εξασφαλίζει ότι οι συναλλασσόμενοι σε εφαρμογές και υπηρεσίες Διαδικτύου που προσφέρονται είτε από πάροχους
διαδικτύου είτε από πάροχους
υπηρεσίας εφαρμογής δεν μπορούν να αρνηθούν τη συμμετοχή τους στη συναλλαγή.
Ομάδα Ελέγχου Ασφάλειας Δικτύου -
Ομάδα Εργασίας του παρόχου, η οποία πρόκειται να
πραγματοποιήσει έλεγχο ασφάλειας δικτύου σε υπολογιστικό και δικτυακό
εξοπλισμό.
Παροχή Δικτύου Διαδικτυακών
Επικοινωνιών - Η σύσταση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύου.Πάροχος Δικτύου Διαδικτυακών
Επικοινωνιών (Internet Service
Provider) - Η επιχείρηση ή το νομικό πρόσωπο που
παρέχει δίκτυο διαδικτυακών επικοινωνιών ή/και το νομικό πρόσωπο που παρέχει στο προσωπικό του την απαραίτητη
δικτυακή υποδομή για χρήση διαδικτυακών επικοινωνιών
στα πλαίσια της εργασίας του. Για τις ανάγκες του παρόντος ο πάροχος δικτύου διαδικτυακών
επικοινωνιών θα αναφέρεται στη συνέχεια του κειμένου ως «πάροχος
διαδικτύου».
Πάροχος Υπηρεσίας Εφαρμογής (Application Service Provider) - μία οντότητα (οργανισμός, εταιρεία κτλ), η
οποία διαθέτει εφαρμογές λογισμικού (software), υλική
υποδομή (hardware) και δικτυακή υποδομή, προκειμένου
να παρέχει υπηρεσίες και εφαρμογές στον πάροχο
δικτύου διαδικτυακών επικοινωνιών και τους χρήστες
του.
Περιβάλλον Δοκιμής - Τμήμα του
εξοπλισμού του παρόχου, το οποίο είναι δικτυακά
απομονωμένο από το Περιβάλλον Παραγωγής και χρησιμοποιείται για δοκιμές,
εκπαίδευση, παρουσιάσεις κλπ.
Περιβάλλον Παραγωγής - Το σύνολο
του εξοπλισμού του παρόχου το οποίο χρησιμοποιείται
για ανταλλαγή δεδομένων και παροχή υπηρεσιών στους υπαλλήλους, στους πελάτες
και στους συνεργάτες του παρόχου και βρίσκεται
συνήθως εντός της περιμέτρου του παρόχου και
προστατευόμενο από το εταιρικό firewall.
Περίμετρος Δικτύου - Όλα τα σημεία
πρόσβασης του δικτύου του παρόχου σε εξωτερικά δίκτυα
(Διαδίκτυο, δίκτυα άλλων υποκαταστημάτων του παρόχου, δίκτυα συνεργατών του, ασύρματα δίκτυα, κτλ)
Πηγαίος Κώδικας - Η μορφή στην
οποία βρίσκεται το λογισμικό (συνήθως σε μορφή εντολών κάποιας γλώσσας
προγραμματισμού υψηλού επιπέδου κατανοητή στον άνθρωπο) προτού περάσει από
διαδικασία μεταγλώττισης και μετατραπεί σε μορφή κατανοητή από το εκάστοτε
υπολογιστικό σύστημα.
Πλήρης Αντιγραφή (full backup) - Πλήρης αποθήκευση
κάθε αρχείου ενός διακομιστή ή δικτυακού στοιχείου.
Πολιτική Ασφάλειας - Το σύνολο
τεχνικών, οργανωτικών και κανονιστικών μέτρων, τα οποία εφαρμόζονται από πάροχο διαδικτύου και αποβλέπουν
στη διασφάλιση του απορρήτου και γενικά στην ασφαλή λειτουργία των δικτύων διαδικτυακών επικοινωνιών.
Πόροι Δεδομένων Επικοινωνιών - οι
πόροι λογισμικού (software), υλικού (hardware), συστημάτων, υπηρεσιών και δικτύων όπου
αποθηκεύονται, επεξεργάζονται, διαβιβάζονται και ανακοινώνονται δεδομένα
επικοινωνιών χρηστών.
Προσδιορισμός Ταυτότητας -
Αναφέρεται σε λιγότερο τυποποιημένες μεθόδους (σε σχέση με τη διαδικασία
επαλήθευσης ταυτότητας) για την πιστοποίηση της φύσης του χρήστη, που είναι
συνήθως μη αυτόματες και απαιτούν ανθρώπινη παρέμβαση.
Προστασία του Απορρήτου - Η απαγόρευση
της ακρόασης, της παγίδευσης, της αποθήκευσης, της επεξεργασίας, της
ανακοίνωσης, της δημοσιοποίησης ή άλλου τύπου υποκλοπής ή παρακολούθησης της
τηλεπικοινωνίας και των δεδομένων επικοινωνίας από άλλα πρόσωπα, χωρίς τη
συγκατάθεσή τους, εξαιρουμένων των νόμιμα εξουσιοδοτημένων.
Συγκατάθεση του Χρήστη ή του
Συνδρομητή - Η συγκατάθεση του προσώπου που αφορούν τα δεδομένα επικοινωνιών,
κατά την έννοια της οδηγίας 95/46/EΚ.
Συμμετρική Κρυπτογραφία -
Κρυπτογραφία στην οποία η κρυπτογράφηση και αποκρυπτογράφηση πραγματοποιούνται
με ένα κλειδί.
Σύστημα Ανίχνευσης Επισύνδεσης (Intrusion Detection System) - Το σύστημα
που παρακολουθεί τα διάφορα γεγονότα στα υπολογιστικά συστήματα και δίκτυα του παρόχου και τα αναλύει για να εντοπίσει σημάδια επισυνδέσεων.
Ταυτότητα - Οι πληροφορίες που
προσδιορίζουν τον χρήστη με μοναδικό τρόπο.
Τοίχος Προστασίας (Firewall) - Το σύστημα που υλοποιείται με λογισμικό ή/και υλικό για την προστασία του εσωτερικού δικτύου του παρόχου από εξωτερικές επιθέσεις.
Υπεργολάβος - Όπως ορίζεται από
την ισχύουσα νομοθεσία.
Υπηρεσία Προστιθέμενης Αξίας -
Υπηρεσία μη τηλεπικοινωνιακή η οποία μπορεί να παρέχεται ή να υποστηρίζεται από
δίκτυο διαδικτυακών επικοινωνιών.
Υπηρεσίες Ηλεκτρονικών
Επικοινωνιών - Οι υπηρεσίες που παρέχονται συνήθως έναντι αμοιβής και των
οποίων η παροχή συνίσταται, εν όλω ή εν μέρει, στη
μεταφορά σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένων των
υπηρεσιών τηλεπικοινωνιών και των υπηρεσιών μετάδοσης σε δίκτυα που
χρησιμοποιούνται για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλεκτρονικών
επικοινωνιών δεν περιλαμβάνονται υπηρεσίες παροχής ή ελέγχου περιεχόμενου που
μεταδίδεται μέσω δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και υπηρεσίες
της κοινωνίας της πληροφορίας, όπως αυτές ορίζονται στην παράγραφο 2 του άρθρου
2 του ΠΔ39/2001 (Α 28), και που δεν αφορούν, εν όλω ή
εν μέρει, τη μεταφορά σημάτων σε δίκτυα επικοινωνιών.
Υπολειπόμενος Κίνδυνος (Residual Risk) - Κίνδυνος που
εξακολουθεί να υφίσταται ακόμα και μετά την υλοποίηση μέτρων ασφαλείας που
αντιμετωπίζουν ένα κίνδυνο παραβίασης του απορρήτου επικοινωνιών των χρηστών.
Χρήστης: κάθε φυσικό πρόσωπο που
χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για
προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής
της εν λόγω υπηρεσίας.
Χρήστης Παρόχου:
κάθε φυσικό πρόσωπο που εργάζεται στην επιχείρηση ή το νομικό πρόσωπο που
παρέχει στο προσωπικό του την απαραίτητη δικτυακή υποδομή για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της εργασίας του.
Αρθρο 3
Γενικά
ΚΕΦΑΛΑΙΟ ΙΙ
ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΕΡΙΜΕΤΡΟΥ
1. Ο πρωταρχικός σκοπός της
πολιτικής ασφάλειας περιμέτρου είναι να προστατεύσει τους διάφορους δικτυακούς
πόρους του παρόχου διαδικτύου
από εισβολείς, δηλαδή να αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε στοιχεία
του δικτύου του παρόχου διαδικτύου
(σε υλικό ή λογισμικό), καθώς και τη διακοπή της ομαλής παροχής των υπηρεσιών
του παρόχου διαδικτύου.
Δεδομένου ότι οι κίνδυνοι και οι απειλές της ασφάλειας των δικτυακών πόρων δεν
μπορούν να ελεγχθούν εξ ολοκλήρου, σκοπός της πολιτικής ασφάλειας περιμέτρου
είναι να διατηρήσει ένα ικανοποιητικό επίπεδο ασφάλειας, ιδιαίτερα όσον αφορά
την πρόσβαση από/προς το Διαδίκτυο,
ανάλογα με την Αποτίμηση Κινδύνου (Κεφάλαιο VII) που
οφείλει πρώτα ο πάροχος διαδικτύου
να έχει πραγματοποιήσει.
2. Η πολιτική ασφάλειας περιμέτρου
ορίζει τους μηχανισμούς (σε υλικό και λογισμικό) που χρησιμοποιούνται για τον
σκοπό που περιγράφηκε παραπάνω, καθώς και τους τρόπους διαμόρφωσης και
ανανέωσης αυτών. Ενδεικτικά και όχι περιοριστικά αναφέρονται τα εξής συστήματα:
Τοίχος Προστασίας (firewall), Σύστημα Προστασίας Αποστρατιωτικοποιημένης Ζώνης, και Σύστημα Ανίχνευσης Επισυνδέσεων (Intrusion Detection System), μεταξύ άλλων.
3. Προκειμένου η πολιτική
ασφάλειας περιμέτρου να εξασφαλίζει το επιθυμητό επίπεδο ασφάλειας των
δικτυακών πόρων ενός παρόχου διαδικτύου,
πρέπει ο πάροχος διαδικτύου
να ακολουθεί τις διεθνώς, ευρέως αποδεκτές πρακτικές που αφορούν την πολιτική
ασφάλειας περιμέτρου. Αυτό συνεπάγεται την κατάλληλη επιλογή, διαμόρφωση, και
ανανέωση των συστημάτων που υλοποιούν την ασφάλεια περιμέτρου.
4. Ο πάροχος
διαδικτύου οφείλει να ορίζει Υπεύθυνο Πολιτικής
Ασφάλειας Περιμέτρου, ο οποίος είναι υπεύθυνος για τον καθορισμό της πολιτικής
ασφάλειας περιμέτρου και για τη σωστή εφαρμογή της. Για τον σκοπό αυτό, ο πάροχος διαδικτύου οφείλει να
αναγνωρίζει ότι η διαχείριση των συστημάτων περιμετρικής ασφάλειας απαιτεί
σημαντικό χρόνο και κατάλληλη εκπαίδευση, και να εξασφαλίζει αυτά στον Υπεύθυνο
Πολιτικής Ασφάλειας Περιμέτρου.
Αρθρο 4
Συστήματα Firewalls
1. Ο πάροχος
διαδικτύου υποχρεούται να χρησιμοποιεί συστήματα firewall για την προστασία των συνδέσεων του δικτύου του με
το Διαδίκτυο ή με άλλα δίκτυα, σύμφωνα με την
πολιτική ασφάλειας περιμέτρου που έχει ορίσει, χωρίς διακοπή (24 ώρες το
24ωρο). Διακοπή της λειτουργίας των συστημάτων επιτρέπεται σε περιπτώσεις
συντήρησης ή αναβάθμισης, ύστερα όμως από έγκαιρη ενημέρωση των χρηστών και
αναβολή της συνδεσιμότητας του δικτύου με εξωτερικά δίκτυα και το Διαδίκτυο για όσο χρόνο διαρκούν οι διαδικασίες αυτές.
2. Ο πάροχος
διαδικτύου πρέπει ιδιαίτερα να εξασφαλίζει την
ασφάλεια των ιδίων συστημάτων firewall, όπως για
παράδειγμα μέσω της χρήσης ενός πολύ ασφαλούς λειτουργικού συστήματος για τα
συστήματα αυτά.
3. Οι πάροχοι
διαδικτύου οφείλουν να αντιμετωπίζουν τα συστήματα firewall ως την πρώτη γραμμή άμυνας από εξωτερικές απειλές,
τα οποία όμως δεν διασφαλίζουν πλήρως την ασφάλεια των εσωτερικών συστημάτων,
τα οποία πρέπει να προστατεύονται αυτόνομα και διαρκώς.
4. Η αρχιτεκτονική των συστημάτων firewall που θα αναπτυχθεί σε έναν πάροχο
διαδικτύου πρέπει να διακρίνει το εσωτερικό δίκτυο σε
δύο βασικές περιοχές:
(α) εσωτερικό έμπιστο (trusted) δίκτυο και
(β) δίκτυο αποστρατικοποιημένης
ζώνης. Το σύστημα firewall επιβάλλεται να μην
επιτρέπει την απευθείας πρόσβαση σε δεδομένα που υπάρχουν στα πληροφοριακά
συστήματα και τα δικτυακά στοιχεία του εσωτερικού έμπιστου δικτύου.
5. Η επιλογή, διαμόρφωση και
ανανέωση των συστημάτων firewall γίνεται με βάση τις
διεθνώς, ευρέως αποδεκτές πρακτικές, οι οποίες περιλαμβάνουν αλλά δεν
περιορίζονται στις εξής:
(α) Η βασική πολιτική διαμόρφωσης
ενός firewall σχετικά με την εισερχόμενη κίνηση είναι
να μην επιτρέπει την είσοδο σε κανένα πακέτο και σύνδεση εκτός εάν ο τύπος της
κίνησης και της σύνδεσης έχει ρητώς επιτραπεί. Αυτή η προσέγγιση θεωρείται
περισσότερο ασφαλής από το να επιτρέπει αρχικά την είσοδο σε όλες τις συνδέσεις
και πακέτα, εξαιρώντας κατόπιν συγκεκριμένους τύπους σύνδεσης και κίνησης.
(β) Η διαμόρφωση των firewalls γίνεται με βάση την αποτίμηση κινδύνων δικτύου
και οφείλει να ανανεώνεται (αν χρειάζεται) κάθε φορά που τροποποιείται η
Αναφορά Αποτίμησης Κινδύνων ή και σε προγραμματισμένα, τακτά χρονικά
διαστήματα. Η πολιτική ασφάλειας περιμέτρου καθορίζει μια τυπική διαδικασία για
τη διαχείριση των προσθέσεων και αφαιρέσεων των κανόνων του firewall.
(γ) Ο πάροχος
διαδικτύου θα επιτρέπει την είσοδο από το Διαδίκτυο προς το εσωτερικό έμπιστο δίκτυο μέσω του firewall εκείνων μόνο των δικτυακών συνόδων που έχουν
ισχυρή ταυτοποίηση και κρυπτογράφηση.
(δ) Το firewall
πρέπει να ελέγχεται και παρακολουθείται συνεχώς για τον εντοπισμό παραβιάσεων ή
κακής διαχείρισης, πιθανώς και με τη χρήση Συστημάτων Ανίχνευσης Επισυνδέσεων.
(ε) Το firewall
πρέπει να ενημερώνει τον Υπεύθυνο Πολιτικής Ασφάλειας Περιμέτρου σε σχεδόν
πραγματικό χρόνο σχετικά με κάθε στοιχείο που ενδέχεται να χρειάζεται άμεσης
εξέτασης (όπως μια εισβολή στο σύστημα) και αντιμετώπισης.
(στ) Η δρομολόγηση με βάση τη
διεύθυνση πηγής (source routing)
πρέπει να είναι απενεργοποιημένη σε όλα τα συστήματα firewall
και τους εξωτερικούς δρομολογητές.
(ζ) Το σύστημα firewall
πρέπει να καταγράφει λεπτομερώς και να αποθηκεύει για ικανοποιητικό χρονικό
διάστημα όλες τις δικτυακές συνόδους ώστε να μπορούν να εξεταστούν για
ανωμαλίες offline. Στο αποθηκευμένο αυτό υλικό έχει
πρόσβαση μόνο ο Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου.
(η) O
Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου οφείλει να κρατά γραπτώς τεκμηρίωση
της διαμόρφωσης και λειτουργίας του συστήματος firewall,
συμπεριλαμβανόμενων πληροφοριών σχετικά με τη λειτουργία του δικτύου (διάγραμμα
δικτύου, διευθύνσεις IP, και άλλα), καθώς και όλων
των υπηρεσιών και των τύπων κίνησης που εξουσιοδοτούνται να διατρέξουν το firewall.
(θ) O
Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου οφείλει να αξιολογεί κάθε νέα έκδοση
του λογισμικού του συστήματος firewall και να
αποφασίζει εάν η ανανέωσή του είναι αναγκαία. Όλες οι προτεινόμενες από τον
κατασκευαστή τροποποιήσεις (patches), που είναι
σχετικές με την ασφάλεια του συστήματος firewall,
πρέπει να υλοποιούνται άμεσα.
Αρθρο 5
Συστήματα Ανίχνευσης Επισυνδέσεων
1. Ο πάροχος
διαδικτύου υποχρεούται να χρησιμοποιεί συστήματα
ανίχνευσης επισυνδέσεων για την ενίσχυση της
προστασίας του δικτύου του, σύμφωνα με την πολιτική ασφάλειας περιμέτρου που
έχει ορίσει, χωρίς διακοπή (24 ώρες το 24ωρο). Διακοπή της λειτουργίας των
συστημάτων αυτών επιτρέπεται μόνο για διαδικασίες συντήρησης ή αναβάθμισής
τους, εκτός εάν συντρέχουν περιπτώσεις ανωτέρας βίας (π.χ. βλάβες) ή η διακοπή
οφείλεται σε λόγους που δεν άγονται στο πεδίο δραστηριότητας και ευθύνης του παρόχου.
2. Η λειτουργικότητα των
συστημάτων ανίχνευσης επισυνδέσεων πρέπει τουλάχιστον
να περιλαμβάνει την παρακολούθηση των επισφαλών γεγονότων στο δίκτυο, καθώς και
την παθητική (passive) αντίδρασή τους σε περίπτωση
διαπίστωσης επισύνδεσης. Η παθητική αντίδραση
περιλαμβάνει τουλάχιστον την ενεργοποίηση των συναγερμών που υποστηρίζει το
σύστημα και την ειδοποίηση του Υπεύθυνου Πολιτικής Ασφάλειας Περιμέτρου.
Συνιστάται όμως το σύστημα ανίχνευσης επισύνδεσης να
ορίζει και να μπορεί να επιτελέσει επιπλέον ενεργές (active)
αντιδράσεις σε περίπτωση διαπίστωσης επισύνδεσης.
Ενδεικτικά και όχι περιοριστικά αναφέρονται τα εξής παραδείγματα ενεργής
αντίδρασης: συλλογή επιπλέον πληροφοριών, μεταβολή του δικτυακού περιβάλλοντος,
και απευθείας αντίδραση κατά των εισβολέων.
3. Η διαμόρφωση των συστημάτων
ανίχνευσης επισυνδέσεων γίνεται με βάση την αποτίμηση
κινδύνων δικτύου και οφείλει να ανανεώνεται (αν χρειάζεται) κάθε φορά που
τροποποιείται η Αναφορά Αποτίμησης Κινδύνων ή και σε προγραμματισμένα, τακτά
χρονικά διαστήματα. Η πολιτική ασφάλειας περιμέτρου καθορίζει μια τυπική
διαδικασία για τη διαμόρφωση των συστημάτων ανίχνευσης επισυνδέσεων.
4. Τα συστήματα ανίχνευσης θα
πρέπει να ελέγχονται σε τακτά χρονικά διαστήματα, από το προσωπικό που είναι υπεύθυνο
για το χειρισμό και τη λειτουργία τους, ώστε το λογισμικό τους να είναι
ενημερωμένο.
5. Τα διάφορα γεγονότα που
ανιχνεύονται από το σύστημα ανίχνευσης επισυνδέσεων
πρέπει να καταγράφονται και να αποθηκεύονται από το σύστημα για περαιτέρω
επεξεργασία. Σημαντικά γεγονότα που καταγράφονται από το σύστημα, θα αναλύονται
διεξοδικά από τον Υπεύθυνο Πολιτικής Ασφάλειας Περιμέτρου και θα καταγράφονται
σε ειδική Φόρμα Καταγραφής Επισυνδέσεων που θα
ορίζεται από την πολιτική ασφάλειας περιμέτρου. Περιοδικά, ή ύστερα από έλεγχο
από την ΑΔΑΕ, ο πάροχος διαδικτύου είναι υποχρεωμένος να αποστέλλει τις φόρμες
αυτές στην ΑΔΑΕ.
Αρθρο 6
Ανάγκη Ύπαρξης Πολιτικής
Εγκατάστασης και Διαχείρισης Τηλεπικοινωνιακού Εξοπλισμού
ΚΕΦΑΛΑΙΟ ΙΙΙ
ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΓΚΑΤΑΣΤΑΣΗΣ
ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΟΥ ΕΞΟΠΛΙΣΜΟΥ
1. Κάθε πάροχος
διαδικτύου υποχρεούται να διαθέτει Πολιτική
Διαχείρισης και Εγκατάστασης Tηλεπικοινωνιακού Eξοπλισμού ως μέρος της Πολιτικής Ασφάλειάς του.
2. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού εξασφαλίζει ότι τυχόν αλλαγές στον
υπάρχοντα εξοπλισμό (υλικό, λογισμικό και διαμόρφωση αυτών) καθώς και η
εισαγωγή καινούργιου εξοπλισμού στη λειτουργία του παρόχου
διαδικτύου γίνεται κατά τέτοιο τρόπο ώστε να
διασφαλίζεται το απόρρητο των επικοινωνιών και να μην παραβιάζεται η Πολιτική
Ασφάλειας του παρόχου διαδικτύου.
3. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού μπορεί να είναι κοινή για όλες τις
οργανικές μονάδες του παρόχου διαδικτύου
ή να διαφοροποιείται ανάλογα με τις ειδικές ανάγκες κάθε οργανικής μονάδας. Σε
κάθε περίπτωση όμως θα πρέπει να τηρούνται οι βασικές αρχές εγκατάστασης και
διαχείρισης που περιγράφονται στον παρόντα Κανονισμό.
Αρθρο 7
Σκοπός και Περιεχόμενο της
Πολιτικής Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού
1. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού, στο πλαίσιο της απαίτησης για
διασφάλιση του απορρήτου των επικοινωνιών και της τήρησης της Πολιτικής
Ασφαλείας του παρόχου διαδικτύου
αλλά και γενικότερα στο πλαίσιο της εύρυθμης λειτουργίας του παρόχου διαδικτύου, καθορίζει ένα
συστηματικό τρόπο για:
(α) Τη δημιουργία πλήρους ιστορικού αναφορικά
με τις αλλαγές που έχουν πραγματοποιηθεί στον τηλεπικοινωνιακό εξοπλισμό του παρόχου διαδικτύου.
(β) Την εκτίμηση του χρόνου
διακοπής της παροχής διαφόρων υπηρεσιών που σχετίζονται με πραγματοποιούμενες
αλλαγές.
(γ) Τον συντονισμό των αλλαγών που
πραγματοποιούνται στον τηλεπικοινωνιακό εξοπλισμό έτσι ώστε αλλαγές σε κάποιο
στοιχείο του εξοπλισμού να μην επηρεάζουν / επιφέρουν αλλαγές σε άλλα στοιχεία
του εξοπλισμού
(δ) Την ελαχιστοποίηση της
πιθανότητας για εκδήλωση επισυνδέσεων και άλλων
παρόμοιων απειλών εναντίον του τηλεπικοινωνιακού εξοπλισμού του παρόχου διαδικτύου.
2. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού σε έναν πάροχο
διαδικτύου περιλαμβάνει κατ" ελάχιστο:
(α) Διαδικασίες για τη δοκιμή και
την εγκατάσταση νέου τηλεπικοινωνιακού εξοπλισμού.
(β) Διαδικασίες για την καταγραφή
των αλλαγών που πραγματοποιούνται σε υπάρχοντα τηλεπικοινωνιακό εξοπλισμό.
(γ) Διαδικασίες για την ενημέρωση
του παρόχου διαδικτύου
αναφορικά με την πραγματοποίηση αλλαγών σε υπάρχοντα τηλεπικοινωνιακό
εξοπλισμό.
(δ) Διαδικασίες για το καθορισμό
αρμοδιοτήτων αναφορικά με την διαχείριση και τη διαμόρφωση τηλεπικοινωνιακού
εξοπλισμού.
(ε) Διαδικασίες για την
εξουσιοδότηση μελών του προσωπικού του παρόχου διαδικτύου, τα οποία θα εφαρμόζουν την εν λόγω πολιτική
συνολικά για όλες τις οργανικές μονάδες του παρόχου διαδικτύου ή/και ανά οργανική
μονάδα ξεχωριστά.
Αρθρο 8
Εγκατάσταση Τηλεπικοινωνιακού
Εξοπλισμού
1. Ο τηλεπικοινωνιακός εξοπλισμός
ενός παρόχου διαδικτύου
εγκαθίσταται εντός των ορίων της περιμέτρου του παρόχου
διαδικτύου και σύμφωνα με τα όσα ορίζονται στην
αντίστοιχη Πολιτική Ασφαλείας Περιμέτρου. Εξαιρούνται περιπτώσεις για τις
οποίες τεκμηριώνεται απαίτηση για εγκατάσταση εκτός της περιμέτρου προκειμένου
να επιτευχθεί ορθή λειτουργία του εξοπλισμού ή/και
των υπηρεσιών που βασίζονται στη λειτουργία του.
2. Η εγκατάσταση του εξοπλισμού
γίνεται σε δύο τουλάχιστον στάδια και περιλαμβάνει κατ ελάχιστο τα ακόλουθα
βήματα:
Στάδιο Προετοιμασίας:
(α) Ελέγχονται η πληρότητα και η
έκταση της προσφερόμενης τεκμηρίωσης αναφορικά με την εγκατάσταση, τη
διαμόρφωση, τη χρήση και τη συντήρηση του εξοπλισμού δίνοντας έμφαση σε ότι
αφορά στα χαρακτηριστικά ασφάλειάς του και τις δυνατότητες προστασίας και άρσης
του απορρήτου. Η τεκμηρίωση θα πρέπει να περιλαμβάνει ένα καλά καθορισμένο
σύνολο από δοκιμές αποδοχής του εξοπλισμού. Εφόσον ο υπό εγκατάσταση εξοπλισμός
περιλαμβάνει λογισμικό το οποίο έχει αναπτυχθεί εσωτερικά τότε η τεκμηρίωση θα
πρέπει να περιλαμβάνει ανάλυση / σχολιασμό σε επίπεδο πηγαίου κώδικα
.(β) Εφόσον η εγκατάσταση
εξοπλισμού περιλαμβάνει και εγκατάσταση λογισμικού τότε ελέγχεται η συμμόρφωση
του λογισμικού με καθιερωμένα διεθνή πρότυπα ή διεθνώς διαδεδομένες πρακτικές.
(γ) Αποτιμάται ο κίνδυνος,
αναφορικά με την ορθή λειτουργία του παρόχου διαδικτύου, που μπορεί να προκύψει από ενδεχόμενη
δυσλειτουργία του υπό εγκατάσταση τηλεπικοινωνιακού εξοπλισμού. Η αποτίμηση του
κινδύνου περιλαμβάνει και την καταγραφή των αλληλεξαρτήσεων του υπό εγκατάσταση
τηλεπικοινωνιακού εξοπλισμού με τα υπάρχοντα τμήματα του τηλεπικοινωνιακού
εξοπλισμού που βρίσκονται σε λειτουργία στον πάροχο διαδικτύου. Επίσης η διαδικασία αποτίμησης του κινδύνου
καθορίζει κατά πόσον οι δοκιμές αποδοχής του εξοπλισμού θα πρέπει να διεξαχθούν
σε ξεχωριστό περιβάλλον δοκιμών ή όχι. Η αποτίμηση του κινδύνου γίνεται τόσο σε
επίπεδο υλικού και λογισμικού όσο και σε επίπεδο δικτυακής επικοινωνίας.
(δ) Στην περίπτωση αναβάθμισης
λογισμικού αποτιμάται η εξάρτηση του εν λόγω λογισμικού από το λειτουργικό
σύστημα που είναι εν χρήσει στο αντίστοιχο υλικό καθώς και από βιβλιοθήκες
λογισμικού οι οποίες είναι τυχόν εν χρήσει στο αντίστοιχο υλικό.
(ε) Καθορίζεται ποια
χαρακτηριστικά του εξοπλισμού, που σχετίζονται με την ασφάλεια και τη
διασφάλιση του απορρήτου, πρέπει να ενεργοποιηθούν και με ποιο τρόπο.
Στάδιο Εγκατάστασης και Ελέγχου
Ορθής Λειτουργίας:
(στ) Ο εξοπλισμός εγκαθίσταται
είτε στο ξεχωριστό περιβάλλον δοκιμής είτε στο περιβάλλον παραγωγής του παρόχου διαδικτύου σύμφωνα με τη
διαδικασία αποτίμησης κινδύνου. Ελέγχονται οι λειτουργίες του εξοπλισμού και
διαπιστώνονται τυχόν προβλήματα. Τα προβλήματα συζητούνται με τον προμηθευτή
του εξοπλισμού και γίνεται προσπάθεια επίλυσής τους.
(ζ) Εφόσον οι δοκιμές του υπό
εγκατάσταση εξοπλισμού γίνονται σε συνεργασία με τηλεπικοινωνιακό εξοπλισμό ο
οποίος ευρίσκεται σε περιβάλλον παραγωγής τότε είναι επιθυμητό οι δοκιμές αυτές
να λαμβάνουν χώρα σε περιόδους χαμηλής τηλεπικοινωνιακής κίνησης (περιόδους μη
αιχμής). Για την πραγματοποίηση των δοκιμών θα πρέπει να χρησιμοποιούνται όπου
αυτό είναι δυνατό, δοκιμαστικά δεδομένα.
3. Οι ενέργειες που περιγράφονται
στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιούνται από
εξουσιοδοτημένο προσωπικό του παρόχου διαδικτύου, σύμφωνα με τις αρμοδιότητες που έχουν
καθορισθεί από την Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού
Εξοπλισμού. Σε περίπτωση σύμβασης υπεργολαβίας, η τελική ευθύνη της τήρησης της
Πολιτικής Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού παραμένει
στον πάροχο διαδικτύου.
4. Το εξουσιοδοτημένο προσωπικό
του παρόχου διαδικτύου με
αιτιολογημένη έκθεσή του προτείνει την αποδοχή ή απόρριψη του εξοπλισμού στις
ενδιαφερόμενες μονάδες του παρόχου διαδικτύου. Ο Υπεύθυνος Ασφάλειας του παρόχου
διαδικτύου λαμβάνει γνώση της εκθέσεως. Στην
περίπτωση που στην έκθεση προτείνεται η αποδοχή του εξοπλισμού τότε αυτός
τίθεται σε λειτουργία στο περιβάλλον παραγωγής.
Αρθρο 9
Διαχείριση Τηλεπικοινωνιακού
Εξοπλισμού
1. Η πρόσβαση στον εγκατεστημένο
εξοπλισμό καθορίζεται από την ισχύουσα Πολιτική Ασφάλειας Περιμέτρου.
2. Το εξουσιοδοτημένο προσωπικό
του παρόχου διαδικτύου θα
πρέπει να ενημερώνεται αναφορικά με κάθε πρόβλημα ασφάλειας ή/και
αναθεώρησης υλικού και λογισμικού που σχετίζεται με την ασφάλεια του
τηλεπικοινωνιακού εξοπλισμού το οποίο διαπιστώνεται από κατασκευαστή ή από
έγκυρους οργανισμούς σχετιζόμενους με την ασφάλεια, να αξιολογεί άμεσα κάθε
σχετική πληροφορία αυτής της μορφής και, εφόσον διαπιστώνει ότι αφορά στον
εξοπλισμό του παρόχου, να προβαίνει στις κατάλληλες
αναβαθμίσεις.
3. Κατά τη διαδικασία διευθυνσιοδότησης του τηλεπικοινωνιακού εξοπλισμού δεν θα
πρέπει να ενθαρρύνεται η χρήση δημοσίως γνωστών δικτυακών αναγνωριστικών
(ενδεικτικά αναφέρονται διευθύνσεις IP, hostnames κ.λ.π.) εκτός από τις περιπτώσεις στις οποίες
τεκμηριώνεται σχετική απαίτηση προκειμένου να επιτευχθεί ορθή λειτουργία του
εξοπλισμού ή/και των υπηρεσιών που βασίζονται στη
λειτουργία του.
4. Κάθε διακομιστής
που αποτελεί μέρος τηλεπικοινωνιακού εξοπλισμού παρόχου
θα πρέπει, κατά προτίμηση:
(α) Να χρησιμοποιείται για την
παροχή μίας μόνο υπηρεσίας, ώστε να ελαχιστοποιείται η πιθανότητα
διαχειριστικών λαθών και να μειώνονται τα περιθώρια για παραβίαση της ασφάλειας
του διακομιστή με εκδήλωση επισυνδέσεων
και άλλων αντίστοιχων απειλών. Η χρήση εξοπλισμού για περισσότερες από μία
υπηρεσίες επιτρέπεται μόνο εφόσον ο κίνδυνος που προκύπτει από τέτοια κοινή
χρήση έχει εξεταστεί από την διαδικασία αποτίμησης κινδύνου. Στην περίπτωση που
ο διακομιστής χρησιμοποιείται για την παροχή
περισσότερων της μιας υπηρεσιών, θα πρέπει να καταβάλλεται κάθε δυνατή
προσπάθεια για απενεργοποίηση υπηρεσιών που δεν χρησιμοποιούνται, ιδιαίτερα
εφόσον οι εν λόγω υπηρεσίες σχετίζονται με τη διαδικτυακή
πρόσβαση.
(β) Να μη χρησιμοποιείται ως
σταθμός εργασίας.
5. Σε κάθε δρομολογητή που
αποτελεί μέρος τηλεπικοινωνιακού εξοπλισμού θα πρέπει, όποτε είναι εφικτό, να
λαμβάνει χώρα:
(α) Απενεργοποίηση υπηρεσιών που
δεν χρησιμοποιούνται.
(β) Αποτίμηση των δικτυακών
διευθύνσεων, θυρών και πρωτοκόλλων με βάση τα οποία δρομολογούνται δεδομένα από
το δρομολογητή.
(γ) Απενεργοποίηση της υπηρεσίας
δρομολόγησης για δικτυακές διευθύνεις, θύρες και πρωτόκολλα που δεν
περιλαμβάνονται στην ως άνω αποτίμηση.
6. Τυχόν διαχείριση
τηλεπικοινωνιακού εξοπλισμού από απόσταση θα πρέπει να γίνεται μέσα από
ασφαλείς διαύλους επικοινωνίας (ενδεικτικά αναφέρονται μισθωμένη γραμμή με
κρυπτογράφηση, σύνδεση VPN κλπ.).
7. Ο χειρισμός των κωδικών ασφαλείας
του τηλεπικοινωνιακού εξοπλισμού υπάγεται στην Πολιτική Κωδικών Ασφάλειας
σύμφωνα με τον Κανονισμό για τη Διασφάλιση του Απορρήτου Εφαρμογών Διαδικτύου και Χρήστη.
8. Η διαμόρφωση του
τηλεπικοινωνιακού εξοπλισμού θα πρέπει να ενεργοποιεί τις αντίστοιχες
δυνατότητες καταγραφής ώστε να καθίσταται εφικτή η άρση του απορρήτου σύμφωνα
με την κείμενη νομοθεσία.
9. Σε περίπτωση που ο
τηλεπικοινωνιακός εξοπλισμός παρέχει τη δυνατότητα υλοποίησης πολλαπλών
επιπέδων δικαιωμάτων πρόσβασης σε πόρους και δεδομένα του, πέραν της χρήσης
κωδικών ασφαλείας, η διαμόρφωση του εξοπλισμού θα πρέπει να αξιοποιεί αυτή τη
δυνατότητα. Με τον τρόπο αυτό μειώνεται η πιθανότητα παραβίασης της ασφαλείας
και του απορρήτου είτε από τυχαία ενέργεια μη εξουσιοδοτημένου χρήστη ή από προσχεδιασμένη
απειλή.
10. Στον εξοπλισμό επιτρέπεται η
εγκατάσταση λογισμικού μόνο από το εξουσιοδοτημένο προσωπικό και μόνο για τους
σκοπούς υποστήριξης του εξοπλισμού και των υπηρεσιών που προσφέρει.
11. Στα πλαίσια της Πολιτικής
Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού το ειδικά
εξουσιοδοτημένο προσωπικό του παρόχου διαδικτύου καταγράφει σε μόνιμη βάση όλες τις πράξεις που
σχετίζονται με εγκατάσταση, απεγκατάσταση,
αναβάθμιση, αλλαγή διαμόρφωσης του τηλεπικοινωνιακού εξοπλισμού του παρόχου διαδικτύου. Η καταγραφή
γίνεται εντύπως σε ειδικό βιβλίο ή/και
ηλεκτρονικά σε βάση δεδομένων του παρόχου διαδικτύου.
12. Με την ως άνω καταγραφή θα
εξασφαλίζεται επίσης ότι στον τηλεπικοινωνιακό εξοπλισμό του παρόχου διαδικτύου δεν έχει
εγκατασταθεί παράνομο ή επικίνδυνο λογισμικό.
13. Πρόσβαση στην ως άνω καταγραφή
έχει μόνο το εξουσιοδοτημένο προσωπικό του παρόχου.
14. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού θα πρέπει να προβλέπει τη διατήρηση
των παλαιών εκδόσεων του λογισμικού για ορισμένο χρονικό διάστημα με σκοπό την
επαναφορά τους στα συστήματα του παρόχου διαδικτύου στην περίπτωση που διαπιστωθεί πρόβλημα
λειτουργίας το οποίο οφείλεται σε εγκατάσταση νέας έκδοσης λογισμικού ή σε
αναβάθμιση λογισμικού. Οι ακριβείς διαδικασίες διατήρησης και επαναφοράς των
παλαιών εκδόσεων του λογισμικού ορίζονται κατά περίπτωση από τον κάθε πάροχο διαδικτύου.
15. Τα τμήματα του
τηλεπικοινωνιακού εξοπλισμού του παρόχου διαδικτύου, τα οποία είναι δυνατό να τρωθούν
από ιούς, θα πρέπει να προστατεύονται από κατάλληλο λογισμικό κατά των ιών.
16. Η Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού προβλέπει συγκεκριμένες ενέργειες
αναφορικά με την ασφάλεια και το απόρρητο κατά τη διαδικασία απεγκατάστασης τηλεπικοινωνιακού εξοπλισμού του παρόχου διαδικτύου. Με τις
ενέργειες αυτές θα πρέπει να διασφαλίζεται ότι η πληροφορία που έχει εγγραφεί
μόνιμα στον εν λόγω εξοπλισμό (π.χ. σε μνήμες ROM,
σκληρούς δίσκους, μαγνητικές ταινίες κλπ.) διαγράφεται οριστικά και δεν μπορεί
να χρησιμοποιηθεί από τρίτους προκειμένου να παραβιασθεί η ασφάλεια του παρόχου διαδικτύου.
Αρθρο 10
Γενικά
ΚΕΦΑΛΑΙΟ IV
ΠΟΛΙΤΙΚΗ ΑΝΤΙΓΡΑΦΩΝ ΑΣΦΑΛΕΙΑΣ
1. Η Πολιτική Αντιγράφων Ασφάλειας
περιλαμβάνει τις διαδικασίες και τους ελέγχους που θα εξασφαλίσουν ότι ο
τηλεπικοινωνιακός εξοπλισμός μπορεί να ανακτήσει τη λειτουργία εντός μιας
λογικής χρονικής περιόδου μετά από οποιαδήποτε ζημιά που μπορεί να οφείλεται σε
κακόβουλες επιθέσεις στο δικτυακό εξοπλισμό.
2. Ο σκοπός της πολιτικής αυτής
είναι να καθορίζει τους κανόνες και τις διαδικασίες αντιγράφων ασφάλειας και
ανάκτησης δεδομένων για να αποτραπεί η απώλεια στοιχείων στην περίπτωση
διακοπής της λειτουργίας του συστήματος του παρόχου διαδικτύου.
Αρθρο 11
Περιεχόμενο
1. Τα Αντίγραφα Ασφάλειας στην
παρούσα πολιτική αναφέρονται στα δεδομένα διάρθρωσης των δικτυακών στοιχείων.
2. Κάθε πάροχος
διαδικτύου πρέπει να αναπτύξει και να συντηρήσει ένα
σχέδιο για να μπορεί να ανταποκρίνεται σε περιπτώσεις εκτάκτου ανάγκης του
συστήματος μετά από κακόβουλες επιθέσεις περιλαμβάνοντας την εκτέλεση
αντιγράφων ασφαλείας, την παροχή διαδικασιών που μπορούν να χρησιμοποιηθούν για
να διευκολύνουν τη συνέχιση της λειτουργίας σε περίπτωση ανάγκης και την
ανάκτηση από μια επίθεση. Πιο συγκεκριμένα:
(α) Πρέπει να αναπτυχθεί και να
τεκμηριωθεί μια διαδικασία ανάλυσης της ευαισθησίας, των ευπαθειών,
και της ασφάλειας των προγραμμάτων και των πληροφοριών που λαμβάνουν,
χειρίζονται, αποθηκεύουν, ή/και μεταδίδουν τα
δικτυακά στοιχεία ώστε να προσδιοριστούν τα στοιχεία για τα οποία θα πρέπει να
αποθηκεύονται.
(β) Η συχνότητα και η έκταση των
αντιγράφων ασφαλείας πρέπει να είναι σύμφωνα με τη σημασία των πληροφοριών και
του αποδεκτού κινδύνου όπως καθορίζεται μετά από την αντίστοιχη ανάλυση.
(γ) Ένα σχέδιο ανάκτησης δεδομένων
πρέπει να τεκμηριωθεί και να ενημερώνεται σε τακτά χρονικά διαστήματα για να
δημιουργήσει και να διατηρήσει, για μια συγκεκριμένη χρονική περίοδο,
ανακτήσιμα ακριβή αντίγραφα των πληροφοριών.
(δ) Ένα σχέδιο αποκατάστασης
πρέπει να αναπτυχθεί και να τεκμηριωθεί, έτσι ώστε να επιτρέπει στον πάροχο διαδικτύου να
αποκαταστήσει οποιαδήποτε απώλεια στοιχείων σε περίπτωση αποτυχίας του
συστήματος και των δικτυακών πόρων μετά από κακόβουλη επίθεση.
(ε) Ένα σχέδιο λειτουργίας τρόπου
έκτακτης ανάγκης πρέπει να αναπτυχθεί και να τεκμηριωθεί, το οποίο να επιτρέπει
στον πάροχο διαδικτύου να
συνεχίσει να λειτουργεί σε περίπτωση αποτυχίας του συστήματος.
(στ) Διαδικασίες δοκιμών και
αναθεώρησης πρέπει να αναπτυχθούν και να τεκμηριωθούν, οι οποίες να απαιτούν
την περιοδική δοκιμή των σχεδίων έκτακτης ανάγκης (contingency
plans) για να ανακαλύψουν τυχόν αδυναμίες.
(ζ) Στα αντίγραφα ασφαλείας πρέπει
να διατίθεται το ίδιο επίπεδο προστασίας με τα αρχικά στοιχεία.
(η) Τα εφεδρικά αντίγραφα
ασφαλείας και οι διαδικασίες αντιγραφής θα πρέπει να εξετάζονται περιοδικά για
να εξασφαλισθεί ότι είναι δυνατό να ανακτηθούν.
Αρθρο 12
Ασφάλεια Αντιγράφων Δικτυακών
Στοιχείων
1. Σε περίπτωση βλάβης κάποιας
δικτυακής διάταξης, όπως δρομολογητές, μεταγωγείς (switch), κόμβοι (hub) και firewalls ή ακόμα και σε περίπτωση κακόβουλης αλλαγής της
διάρθρωσης των διατάξεων αυτών, είναι απαραίτητος ο επαναπρογραμματισμός
των στοιχείων αυτών στην αρχική τους κατάσταση. Για αυτό το λόγο θα πρέπει
διάφορα αρχεία που προσδιορίζουν την κατάσταση και τη διάρθρωση των συσκευών
αυτών να αντιγράφονται, και συγκεκριμένα:
(α) Τα δεδομένα διάρθρωσης μιας
δικτυακής διάταξης (λογισμικό συστήματος, αρχεία σύνθεσης του λογισμικού,
αρχεία βάσεων δεδομένων, κλπ.) πρέπει να αντιγράφονται ημερησίως, εβδομαδιαίως
και μηνιαίως, έτσι ώστε σε περίπτωση αποτυχίας του συστήματος, τα δεδομένα και
τα αρχεία σύνθεσης του λογισμικού (configuration files) να μπορούν να ανακτηθούν.
(β) Τα εφεδρικά αντίγραφα πρέπει
να αποθηκεύονται με ασφαλή τρόπο σε αρχεία μόνο αναγνώσιμα έτσι ώστε τα
αποθηκευμένα δεδομένα να μην επεγγράφονται (overwrite) ακούσια και πρέπει να κλειδώνονται ώστε τα
δεδομένα να είναι προσβάσιμα μόνο σε εξουσιοδοτημένο
προσωπικό.
(γ) Μια λύση θα ήταν η ύπαρξη ενός
εφεδρικού firewall, που θα έχει την ίδια σύνθεση με
το firewall που χρησιμοποιείται. Το firewall αυτό θα μπορούσε να τεθεί σε λειτουργία σε
περίπτωση βλάβης του αρχικού και να χρησιμοποιείται ενώ το άλλο είναι υπό
επισκευή. Τουλάχιστον ένα firewall πρέπει να έχει
διαρθρωθεί και να διαφυλάσσεται, ώστε σε περίπτωση αποτυχίας, αυτό το εφεδρικό firewall να μπορεί να χρησιμοποιηθεί για την προστασία του
δικτύου.
2. Σημαντικό για τον πάροχο διαδικτύου είναι επίσης η
παροχή προστασίας στους διακομιστές του δίκτυου του και η ανάκτηση αρχείων στην περίπτωση απώλειας
αυτών. Οι διαχειριστές δικτύων μπορεί να παρέχουν διάφορες μεθόδους παροχής
εφεδρικών αντιγράφων, όπως πλήρη, αυξητική και διαφορική αντιγραφή αρχείων. Μια
διαφορετική μέθοδος αντιγραφής είναι η Δικτυακή Αντιγραφή αρχείων, στην οποία
κρυπτογραφημένα δεδομένα με αυτόματο και ασφαλή τρόπο αντιγράφονται και
αποθηκεύονται σε μια περιοχή εκτός του εσωτερικού δικτύου του παρόχου διαδικτύου.
Αρθρο 13
Γενικά
ΚΕΦΑΛΑΙΟ V
ΔΙΑΔΙΚΑΣΙΑ ΧΕΙΡΙΣΜΟΥ ΠΕΡΙΣΤΑΤΙΚΩΝ
ΑΣΦΑΛΕΙΑΣ
1. Κάθε πάροχος
διαδικτύου οφείλει να διαθέτει σαφή Διαδικασία Χειρισμού
Περιστατικών Ασφάλειας (Δ.Χ.Π.Α) τα οποία απειλούν
την ασφάλεια των επικοινωνιακών υποδομών αλλά και τη διασφάλιση του απορρήτου
των επικοινωνιών που διεξάγονται μέσω του παρόχου.
2. Σε κάθε περίπτωση όπου:
(α) διαπιστώνεται κίνδυνος για την
διασφάλιση του απορρήτου,
(β) έχει καταγγελθεί παραβίαση
απορρήτου,
(γ) υπάρχουν σοβαρές υπόνοιες ότι
δε διασφαλίζεται το απόρρητο των επικοινωνιών, ο πάροχος
διαδικτύου οφείλει να ενεργοποιεί άμεσα την Δ.Χ.Π.Α.
3. Στόχοι της διαδικασίας είναι
να:
(α) Καταγραφούν όλες οι
λεπτομέρειες του περιστατικού.
(β) Να ενημερωθούν οι αρμόδιοι
(του παρόχου διαδικτύου
αλλά και φορείς όπως η ΑΔΑΕ) και οι χρήστες.
(γ) Να διασφαλιστεί το δυνατόν
συντομότερο το απόρρητο.
(δ) Να διερευνηθούν τα αίτια και
να βρεθούν τα πιθανά σφάλματα του παρόχου διαδικτύου ή και άλλων προσώπων.
Αρθρο 14
Περιεχόμενο
1. Η Δ.Χ.Π.Α.
πρέπει να περιέχει τουλάχιστον τα σημεία που περιγράφονται στο παρόν άρθρο.
2. Πρέπει να ορίζεται ομάδα άμεσου
χειρισμού του συμβάντος αποτελούμενη από εξειδικευμένους τεχνικούς αλλά και
διοικητικά στελέχη. Τα τεχνικά στελέχη έχουν την ευθύνη να επιβεβαιώσουν το
συμβάν και να προβούν άμεσα στην αποκατάσταση του προβλήματος. Τα διοικητικά
στελέχη φέρουν την ευθύνη αξιολόγησης και διαχείρισης του συμβάντος σε συνεργασία
με την τεχνική ομάδα.
3. Κάθε συμβάν θα πρέπει να
αναφέρεται ώστε να είναι δυνατή η άμεση αντιμετώπισή του. Για αυτό το λόγο θα
πρέπει να οριστεί ένα ή περισσότερα άτομα στα οποία θα πρέπει να αναφέρεται
άμεσα η εκδήλωση ενός περιστατικού ασφάλειας, από οποιοδήποτε μέλος του
προσωπικού του παρόχου, όταν αυτό γίνεται αντιληπτό.
Το άτομο ή τα άτομα αυτά θα πρέπει να γνωστοποιούνται σε όλο το προσωπικό, μαζί
με πιθανούς τρόπους επικοινωνίας (τηλέφωνα, fax, email ή ό,τι άλλο κρίνεται αναγκαίο).
4. Κάθε συμβάν πρέπει να
αξιολογείται και με βάση την αξιολόγησή του, κρίνεται ο τρόπος με τον οποίο
πρέπει να αντιμετωπιστεί. Ανάλογα με την κρισιμότητα του περιστατικού
ενεργοποιείται και η κατάλληλη διάταξη της Δ.Χ.Π.Α.
5. Επίσης πρέπει να ορίζεται η
επικοινωνιακή πολιτική για κάθε περίπτωση ανάλογου περιστατικού. Αναλόγως με
την κρισιμότητα του συμβάντος ειδοποιούνται τα κατάλληλα στελέχη του παρόχου διαδικτύου. Σε περίπτωση
κρίσιμου περιστατικού πρέπει να ειδοποιούνται σταδιακά υψηλόβαθμα στελέχη του παρόχου διαδικτύου, τα οποία
φέρουν και την ευθύνη καταγγελίας του περιστατικού στους αρμόδιους φορείς και
την ΑΔΑΕ.
6. Ο παρακάτω πίνακας είναι
ενδεικτικός για τον τρόπο με τον οποίο αντιμετωπίζονται αντίστοιχα συμβάντα με
βάση την κρισιμότητά τους.
Κρισιμότητα Ομάδα άμεσης
επέμβασης Ενέργειες Επικοινωνιακή
πολιτική
Περιλαμβάνει στοιχεία Περιλαμβάνουν τόσο Περιλαμβάνει λίστα των
επικοινωνίας, και
ρόλο τεχνικές επιταγές και σχέδιο φορέων και
ατόμων
οι οποίοι
του κάθε προσώπου αποκατάστασης του πρέπει να λάβουν γνώση του
απορρήτου, όσο και
συμβάντος, καθώς και τη
διοικητικές ενέργειες.
συχνότητα ενημέρωσης του
κάθε φορέα ή προσώπου.
Κρίσιμη *
Τεχνική * Τεχνική
* Πάροχος
Διαδικτύου
* Διοικητική
* Διοικητική * Φορείς
Σοβαρή * Τεχνική * Τεχνική * Πάροχος Διαδικτύου
* Διοικητική * Διοικητική * Φορείς
* Πιθανή * Τεχνική
* Τεχνική * Πάροχος
Διαδικτύου
* Διοικητική * Διοικητική * Φορείς
Ελάχιστη * Τεχνική
* Τεχνική * Πάροχος
Διαδικτύου
* Διοικητική * Διοικητική
* Φορείς
7. Ο πάροχος
διαδικτύου οφείλει να διατηρεί την Δ.Χ.Π.Α. ενημερωμένη με σωστά στοιχεία επικοινωνίας για όλους
του εμπλεκόμενους. Τα στοιχεία των προσώπων και φορέων που πρέπει να
ειδοποιηθούν άμεσα στην περίπτωση που διαπιστώνεται κάποιο συμβάν πρέπει να
επαρκούν για την άμεση ειδοποίησή τους.
8. Ακόμα, πρέπει να υπογραμμιστεί
η αναγκαιότητα καταγραφής όλων των ενεργειών που εκτελέστηκαν από την τεχνική
ομάδα, όλων των τεχνικών ευρημάτων, καθώς και όλων των επικοινωνιών κατά τη
διάρκεια καταστολής του περιστατικού. Η καταγραφή των στοιχείων πρέπει να
γίνεται με τρόπο σαφή και σε ειδικά έντυπα τα οποία περιγράφονται στην Δ.Χ.Π.Α. του παρόχου διαδικτύου.
9. Επίσης ο πάροχος
διαδικτύου πρέπει να ελέγχει σε τακτά χρονικά
διαστήματα την ετοιμότητα ενεργοποίησης όλων τον μηχανισμών και προσώπων που
περιγράφονται στην Δ.Χ.Π.Α.
Αρθρο 15
Γενικά
ΚΕΦΑΛΑΙΟ VΙ
ΔΙΑΔΙΚΑΣΙΑ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ
ΔΙΚΤΥΟΥ
1. Η διαδικασία ελέγχου ασφάλειας
δικτύου πραγματοποιείται από την ομάδα ελέγχου ασφάλειας δικτύου του παρόχου διαδικτύου. Η ομάδα
ελέγχου ασφάλειας δικτύου θα χρησιμοποιήσει συγκεκριμένο λογισμικό ελέγχου για
τη διεξαγωγή ηλεκτρονικής ανίχνευσης των δικτύων ή/και
των συστημάτων προστασίας επιθέσεων ή οποιουδήποτε άλλου πληροφοριακού και
δικτυακού συστήματος στον πάροχο διαδικτύου.
2. Ο έλεγχος ασφάλειας δικτύου
πραγματοποιείται με σκοπό :
(α) Την εξακρίβωση ότι
διασφαλίζεται η ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα πληροφοριών και
πόρων.
(β) Την εξακρίβωση ότι
διασφαλίζεται η συμφωνία των πιθανών περιστατικών που σχετίζονται με την
ασφάλεια με την πολιτική ασφάλειας του παρόχου διαδικτύου.
(γ) Την παρακολούθηση ενεργειών
των χρηστών, των χρηστών παρόχου και του συστήματος
όπου αυτό κρίνεται αναγκαίο, ύστερα από σχετική ενημέρωση του χρήστη ή χρήστη παρόχου.
3. Η ομάδα ελέγχου ασφάλειας
δικτύου επιτελεί τη διαδικασία ελέγχου ασφάλειας με τέτοιο τρόπο ώστε να μην
εμποδίζεται η παροχή των υπηρεσιών του παρόχου διαδικτύου προς τους χρήστες ή χρήστες παρόχου.
4. Η ομάδα ελέγχου ασφάλειας
δικτύου μπορεί να είναι εσωτερική, δηλαδή να απαρτίζεται από εργαζόμενους στον πάροχο διαδικτύου, ή εξωτερική,
δηλαδή να απαρτίζεται από εξειδικευμένο προσωπικό άλλου φορέα, με τον οποίο
συνάπτεται η κατάλληλη συμφωνία.
Αρθρο 16
Υποχρεώσεις Παρόχου
1. Κατά τη διαδικασία ελέγχου
ασφάλειας δικτύου, ο πάροχος διαδικτύου
επιτρέπει στην ομάδα ελέγχου ασφάλειας δικτύου την πρόσβαση στο δίκτυο και τα
συστήματα προστασίας επιθέσεων, έως το επίπεδο το οποίο κρίνεται αναγκαίο ώστε
να γίνει δυνατή η εκτέλεση των καθορισμένων ελέγχων.
2. Ο πάροχος
διαδικτύου παρέχει τα αναγκαία πρωτόκολλα, τις
δικτυακές συνδέσεις και τις πληροφορίες διευθυνσιοδότησης
που είναι αναγκαία στην ομάδα ελέγχου ασφάλειας δικτύου για την εκτέλεση του
λογισμικού ελέγχου και διάγνωσης του δικτύου. Η πρόσβαση αυτή μπορεί να
συμπεριλαμβάνει:
(α) Πρόσβαση επιπέδου χρήστη ή/και συστήματος σε οποιαδήποτε διάταξη υπολογιστή και επικοινωνίας.
(β) Πρόσβαση σε πληροφορία
(ηλεκτρονικής ή έντυπης μορφής) η οποία μπορεί να παραχθεί, μεταδοθεί ή
αποθηκευτεί σε εξοπλισμό ή σε εγκαταστάσεις οι οποίες ανήκουν στον πάροχο διαδικτύου. Σε περίπτωση
που η πληροφορία αυτή αφορά κάποιον χρήστη ή χρήστη παρόχου,
ο πάροχος οφείλει να ενημερώνει το χρήστη ή χρήστη παρόχου για τη διαδικασία αυτή.
(γ) Πρόσβαση σε χώρους εργασίας
(εργαστήρια, γραφεία, αποθηκευτικούς χώρους, κ.λ.π.)
(δ) Πρόσβαση με σκοπό την ενεργή
παρακολούθηση και καταγραφή κίνησης πάνω από τα δίκτυα του παρόχου
διαδικτύου.
Αρθρο 17
Έλεγχος Δικτύου
1. Η ομάδα ελέγχου ασφάλειας
δικτύου πραγματοποιεί τον έλεγχο μόνο κατά τη διάρκεια των επιτρεπόμενων
ημερομηνιών και ωραρίων που έχουν προσυμφωνηθεί με
τον πάροχο διαδικτύου.
2. Σε περίπτωση που ο πάροχος διαδικτύου δε διαθέτει
τον πλήρη έλεγχο πάνω στα δίκτυά του, ή η πρόσβαση στις υπηρεσίες διαδικτύου παρέχεται μέσω άλλων παρόχων
διαδικτύου, οι τελευταίοι θα πρέπει να παράσχουν
έγγραφη αποδοχή της διαδικασίας ελέγχου ασφάλειας δικτύου, κατά τη διάρκεια των
προκαθορισμένων ημερομηνιών και ωραρίων.
3. Οι επιδόσεις ή/και η διαθεσιμότητα του δικτύου ενδέχεται να επηρεαστούν
κατά τη διάρκεια των δοκιμών και των ελέγχων που θα πραγματοποιηθούν. Η ομάδα
ελέγχου ασφάλειας δικτύου οφείλει να λαμβάνει όλα τα δυνατά μέτρα ώστε να
ελαχιστοποιούνται όσο είναι δυνατό τέτοιες επιδράσεις. Όμως, η ομάδα ελέγχου
ασφάλειας δικτύου απαλλάσσεται από οποιαδήποτε ευθύνη σχετικά με ζημιές οι
οποίες ενδέχεται να προκύψουν ως αποτέλεσμα της μη διαθεσιμότητας του δικτύου η
οποία μπορεί να προκληθεί από τις δοκιμές και τους ελέγχους που θα
πραγματοποιηθούν, με εξαίρεση την περίπτωση που οι ζημιές αυτές είναι το
αποτέλεσμα αμέλειας ή σκόπιμης κακόβουλης ενέργειας της ομάδας ελέγχου
ασφάλειας δικτύου.
Αρθρο 18
Εφαρμογή
1. Ο πάροχος
διαδικτύου πραγματοποιεί διαδικασία ελέγχου ασφάλειας
δικτύου είτε αυτόβουλα, σε τακτά χρονικά διαστήματα, είτε ύστερα από
αιτιολογημένο αίτημα της ΑΔΑΕ.
Αρθρο 19
Γενικά
ΚΕΦΑΛΑΙΟ VII
ΔΙΑΔΙΚΑΣΙΑ ΑΠΟΤΙΜΗΣΗΣ ΚΙΝΔΥΝΩΝ
1. Ως Διαδικασία Αποτίμησης
Κινδύνων ορίζεται η διαδικασία εντοπισμού, ελέγχου και αξιολόγησης των τρωτών
σημείων και απειλών ασφαλείας των πληροφοριακών και δικτυακών συστημάτων του παρόχου διαδικτύου σε ότι αφορά
στην εμπιστευτικότητα και ακεραιότητα των δεδομένων και τη διαθεσιμότητα των
παρεχόμενων υπηρεσιών.
2. Ειδικότερα για το
τηλεπικοινωνιακό απόρρητο, η Διαδικασία Αποτίμησης Κινδύνων εστιάζεται στις
απειλές που σχετίζονται με την προστασία των δεδομένων επικοινωνίας των χρηστών
των υπηρεσιών ηλεκτρονικών επικοινωνιών.
3. Σκοπός της είναι να βοηθήσει
τον πάροχο διαδικτύου να
επιλέξει τις διαδικασίες και πρακτικές που ελαχιστοποιούν την πιθανότητα
παραβίασης του απορρήτου επικοινωνιών των χρηστών καθώς και το κόστος εφαρμογής
τους.
Αρθρο 20
Περιεχόμενο
1. Ο πάροχος
διαδικτύου οφείλει να συγκροτεί Ομάδα Αποτίμησης
Κινδύνων, η οποία θα αναλαμβάνει να αναλύει τους κινδύνους που υφίστανται για
το απόρρητο επικοινωνιών των χρηστών. Συνιστάται η Ομάδα να περιλαμβάνει τόσο
τεχνικό προσωπικό (προγραμματιστές, μηχανικούς ασφαλείας κτλ) όσο και ανώτερα
στελέχη, ώστε η αποτίμηση να είναι ολοκληρωμένη και να λαμβάνει υπόψη όλες τις
αναγκαίες πτυχές.
2. Η Ομάδα Αποτίμησης Κινδύνων
οφείλει να συνέρχεται τουλάχιστον μια φορά κάθε 12 μήνες και να συντάσσει την
Αναφορά Αποτίμησης Κινδύνων σύμφωνα με το άρθρο 21. Επιπλέον, συνιστάται η
ομάδα να συνέρχεται όποτε παρουσιάζεται κάποιο σημαντικό θέμα ασφαλείας, όπως
νέες απειλές, αλλαγή/ανανέωση τηλεπικοινωνιακού
υλικού, ενεργοποίηση καινούργιας εφαρμογής λογισμικού, μεταξύ άλλων.
3. Ο πάροχος
διαδικτύου οφείλει να ορίζει Υπεύθυνο Αποτίμησης
Κινδύνων. Συνιστάται να είναι στέλεχος του παρόχου διαδικτύου και να μην συμμετέχει στην Ομάδα Αποτίμησης
Κινδύνων. Ο Υπεύθυνος Αποτίμησης Κινδύνων οφείλει:
(α) Να ελέγχει την ποιότητα των
εργασιών της Ομάδας Αποτίμησης Κινδύνων.
(β) Να ελέγχει την Αναφορά
Αποτίμησης Κινδύνων και να την παραδίδει εγκαίρως στον Υπεύθυνο Ασφάλειας του παρόχου διαδικτύου.
4. Σε περίπτωση ανάθεσης του έργου
σε τρίτο με σύμβασης υπεργολαβίας, η τελική ευθύνη της Διαδικασίας Αποτίμησης
Κινδύνων παραμένει στον πάροχο διαδικτύου.
Τυχόν αμέλεια του Υπευθύνου Αποτίμησης Κινδύνων συνεπάγεται κυρώσεις κατά του
ιδίου αλλά και κατά του παρόχου διαδικτύου,
ο οποίος εν τέλει είναι υπεύθυνος για την διασφάλιση του απορρήτου.
Αρθρο 21
Αναφορά Αποτίμησης Κινδύνων
1. Η Διαδικασία Αποτίμησης
Κινδύνων οφείλει να περιγράφει λεπτομερώς και να ακολουθεί κατ ελάχιστον τα
παρακάτω βήματα:
(α) Καταγραφή των Πόρων Δεδομένων
Επικοινωνιών: πρόκειται για την πλήρη καταγραφή όλων των πόρων που χρησιμοποιούνται
για την παρακολούθηση, αποθήκευση, επεξεργασία, εξαγωγή, διαβίβαση, ανακοίνωση
και δημοσιοποίηση δεδομένων επικοινωνίας. Συνιστάται επίσης η καταγραφή των
μέτρων ασφαλείας που ισχύουν ήδη.
(β) Κατηγοριοποίηση των Πόρων
Δεδομένων Επικοινωνιών: κάθε πόρος δεδομένων επικοινωνιών πρέπει να
χαρακτηριστεί ως «κρίσιμος», «βασικός» ή «κανονικός» με κριτήριο τη σημασία ως
προς το απόρρητο των δεδομένων επικοινωνιών που διαχειρίζεται ο κάθε πόρος.
(γ) Καταγραφή Ευπαθειών:
για κάθε Πόρο Δεδομένων Επικοινωνιών πρέπει να καταγράφονται όλες οι ευπάθειες (αδυναμίες, ελαττώματα) που είναι δυνατόν να
θέσουν σε κίνδυνο το απόρρητο επικοινωνιών των χρηστών.
(δ) Κατηγοριοποίηση Ευπαθειών: κάθε ευπάθεια που καταγράφηκε στο προηγούμενο
βήμα οφείλει να ορισθεί με σαφήνεια και να χαρακτηρισθεί ως «κρίσιμη»,
«σημαντική» ή «δευτερεύουσα» με κριτήριο το πόσο επικίνδυνη είναι για τη
διατήρηση του απορρήτου επικοινωνιών των χρηστών.
(ε) Καταγραφή Απειλών: για κάθε
Πόρο Δεδομένων Επικοινωνιών πρέπει να καταγράφονται όλες οι απειλές που είναι
δυνατόν να εκμεταλλευτούν μια ευπάθεια και να θέσουν σε κίνδυνο το απόρρητο
επικοινωνιών των χρηστών.
(στ) Κατηγοριοποίηση Απειλών: κάθε
απειλή που καταγράφηκε στο προηγούμενο βήμα οφείλει να ορισθεί με σαφήνεια και
να χαρακτηρισθεί ως «κρίσιμη», «σημαντική» ή «δευτερεύουσα» με κριτήριο το πόσο
επικίνδυνη είναι για τη διατήρηση του απορρήτου επικοινωνιών των χρηστών.
Πρέπει να λαμβάνονται υπόψη τόσο τα αποτελέσματα μιας τέτοιας απειλής καθώς και
η πιθανότητα να συμβεί.
(ζ) Ιεράρχηση Κινδύνου: πρόκειται
για την ταξινόμηση όλων των συνδυασμών «Πόρος Δεδομένων Επικοινωνιών - Ευπάθεια
- Απειλή» ως προς την κρισιμότητα του κινδύνου. Στο βήμα αυτό, οποιαδήποτε
μεθοδολογία αποτίμησης και αν ακολουθείται, πρέπει να αναφέρεται ξεκάθαρα ποιοι
συνδυασμοί παρουσιάζουν μεγαλύτερο κίνδυνο για τη διατήρηση του απορρήτου
επικοινωνιών των χρηστών και ποιοι μικρότερο.
(η) Προτάσεις Αντιμετώπισης
Κινδύνου: για κάθε συνδυασμό «Πόρος Δεδομένων Επικοινωνιών - Ευπάθεια - Απειλή»
του προηγούμενου βήματος πρέπει να προτείνεται και να περιγράφεται λεπτομερώς
τουλάχιστον μία λύση. Η λύση αυτή είναι πιθανόν να αφορά είτε συγκεκριμένα
τεχνικά βήματα είτε πολιτικές - διαδικασίες αντιμετώπισης του κινδύνου. Για
κάθε λύση συνιστάται επίσης να καθορίζονται το σκεπτικό, τα προτερήματα και
μειονεκτήματά της έναντι των άλλων λύσεων, το πιθανό κόστος και ο χρονικός
ορίζοντας υλοποίησής της. Ιδιαίτερη προσοχή πρέπει να δίνεται στις περιπτώσεις
υψηλού κινδύνου.
(θ) Προτεινόμενη λύση: για κάθε
συνδυασμό «Πόρος Δεδομένων Επικοινωνιών - Ευπάθεια - Απειλή» πρέπει να
επιλέγεται μία λύση ανάμεσα σε αυτές που αναφέρθηκαν στο προηγούμενο βήμα
(εφόσον οι λύσεις είναι περισσότερες από μία). Για αυτήν τη λύση πρέπει να
αναφέρονται τόσο οι λόγοι που οδήγησαν στην επιλογή αυτή όσο και τον υπολειπόμενο
κίνδυνο.
2. Η Αναφορά Αποτίμησης Κινδύνων
οφείλει επίσης να αναφέρει τα μέλη της Ομάδας Αποτίμησης Κινδύνων, τον Υπεύθυνο
Αποτίμησης Κινδύνων και την ημερομηνία δημιουργίας της.
Αρθρο 22
Γενικά
ΚΕΦΑΛΑΙΟ VIII
ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ
1. Οι πολιτικές και οι διαδικασίες
που ορίστηκαν στον κανονισμό αυτό αποτελούν μέρος της γενικότερης Πολιτικής
Ασφάλειας του παρόχου διαδικτύου,
όπως αυτή ορίστηκε στον «Κανονισμό για την Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρεσίες και
Εφαρμογές».
2. Κατά συνέπεια, η ΑΔΑΕ στα πλαίσια ελέγχου και εποπτείας που καθορίστηκαν
στον «Κανονισμό για τη Διασφάλιση του Απορρήτου στις Διαδικτυακές
Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές», μπορεί ανά πάσα στιγμή
να προβεί σε έλεγχο του καθορισμού, επιβολής και σωστής λειτουργίας των
πολιτικών που ορίστηκαν στον παρόντα Κανονισμό.
3. Σχετικά με τις λεπτομερείς
διαδικασίες διενέργειας του ελέγχου καθώς και τις προβλεπόμενες διοικητικές
κυρώσεις ισχύουν, κατ αναλογία, τα αναγραφόμενα στον «Κανονισμό για τη
Διασφάλιση του Απορρήτου στις Διαδικτυακές
Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές».
Αρθρο 23
Πολιτική Ασφάλειας Περιμέτρου
1. Η ΑΔΑΕ
μπορεί να διενεργεί αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου εφαρμόζει Πολιτική Ασφάλειας Περιμέτρου
και ακολουθεί τις διαδικασίες που περιγράφονται στις αντίστοιχες διατάξεις του
παρόντος.
2. Ο πάροχος
διαδικτύου υποχρεούται να παραδίδει στα στελέχη της ΑΔΑΕ την πιο πρόσφατη Πολιτική Ασφάλειας Περιμέτρου είτε
κατά τη διάρκεια ελέγχου είτε κάθε φορά που πραγματοποιείται κάποια σημαντική
αλλαγή σε αυτή. Επιπρόσθετα, ο πάροχος διαδικτύου υποχρεούται περιοδικά να αποστέλλει στην ΑΔΑΕ τις τελευταίες Φόρμες Καταγραφής Επισυνδέσεων.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην Πολιτική
Ασφάλειας Περιμέτρου. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να
προσαρμόζει την Πολιτική Ασφάλειας Περιμέτρου αναλόγως, εντός της προθεσμίας
που θα ορίζεται από το κείμενο τροποποίησης.
Αρθρο 24
Πολιτική Διαχείρισης και
Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού
1. Το εξουσιοδοτημένο προσωπικό
του παρόχου διαδικτύου
διενεργεί περιοδικούς ελέγχους προκειμένου να διαπιστώσει κατά πόσον τηρείται η
Πολιτικής Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού στις
διάφορες οργανικές μονάδες του παρόχου διαδικτύου. Σε όσες περιπτώσεις είναι δυνατό θα πρέπει να
γίνεται χρήση αυτοματοποιημένων εργαλείων τα οποία π.χ. συλλέγουν και αναλύουν
δεδομένα από αρχεία καταγραφής ή/και πραγματοποιούν
εικονικές επιθέσεις στον εξοπλισμό του παρόχου διαδικτύου για διαπίστωση πιθανών κενών ασφαλείας. Η
διαδικασία των περιοδικών ελέγχων θα πρέπει να έχει σχεδιαστεί με τέτοιο τρόπο
έτσι ώστε να τελεί υπό την άμεση εποπτεία του Υπεύθυνου Ασφάλειας του παρόχου διαδικτύου.
2. Η ΑΔΑΕ
διενεργεί αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου διατηρεί και εφαρμόζει επαρκή και
ενημερωμένη Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού,
η οποία συμφωνεί με τις διαδικασίες που περιγράφονται στις αντίστοιχες
διατάξεις του παρόντος.
3. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να
παραδώσει στα στελέχη της ΑΔΑΕ την εν ενεργεία
Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού καθώς και να
παρέχει πρόσβαση στην έντυπη ή/και ηλεκτρονική
καταγραφή των πράξεων που σχετίζονται με εγκατάσταση, απεγκατάσταση,
αναβάθμιση, αλλαγή διαμόρφωσης του τηλεπικοινωνιακού εξοπλισμού του.
4. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην Πολιτική
Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού. Μετά από κάθε
τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να προσαρμόζει την Πολιτική Διαχείρισης
και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού αναλόγως.
Αρθρο 25
Πολιτική Αντιγράφων Ασφάλειας
1. Η ΑΔΑΕ
μπορεί να διενεργεί αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου εφαρμόζει την Πολιτική Αντιγράφων
Ασφάλειας και ακολουθεί τις διαδικασίες που περιγράφονται στις αντίστοιχες
διατάξεις του παρόντος.
2. Ο πάροχος
διαδικτύου υποχρεούται να παραδίδει στα στελέχη της ΑΔΑΕ την πιο πρόσφατη Πολιτική Αντιγράφων Ασφάλειας είτε
κατά τη διάρκεια ελέγχου είτε κάθε φορά που πραγματοποιείται κάποια σημαντική
αλλαγή σε αυτή.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην Πολιτική
Αντιγράφων Ασφάλειας. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να
προσαρμόζει την Πολιτική Αντιγράφων Ασφάλειας αναλόγως, εντός της προθεσμίας
που θα ορίζεται από το κείμενο τροποποίησης.
Αρθρο 26
Διαδικασία Χειρισμού Περιστατικών
Ασφάλειας
1. Η ΑΔΑΕ
μπορεί να διενεργεί αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου διατηρεί επαρκή και ενημερωμένη Δ.Χ.Π.Α. η οποία συμφωνεί με τις διαδικασίες που
περιγράφονται στις αντίστοιχες διατάξεις του παρόντος.
2. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να
παραδώσει στα στελέχη της ΑΔΑΕ την τελευταία Δ.Χ.Π.Α. Η ΑΔΑΕ μπορεί επιπλέον
να ζητήσει την ενεργοποίηση της διαδικασίας είτε για να διαπιστώσει την
ετοιμότητα του παρόχου είτε για να διερευνήσει καταγγελθέντα περιστατικά.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην Δ.Χ.Π.Α.. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να
προσαρμόζει τη Δ.Χ.Π.Α. αναλόγως.
Αρθρο 27
Διαδικασία Ελέγχου Ασφάλειας
Δικτύου
1. Κατά τη διάρκεια ελέγχου
ασφάλειας δικτύου, η ΑΔΑΕ μπορεί να διενεργήσει
αυτοψία για να διαπιστώσει αν όντως τηρούνται οι διαδικασίες ελέγχου ασφάλειας
δικτύου, και αν ο πάροχος διαδικτύου
εφαρμόζει τις διαδικασίες που περιγράφονται στις αντίστοιχες διατάξεις του
παρόντος.
2. Κατά τη διάρκεια ελέγχου
ασφάλειας δικτύου, οι εμπλεκόμενοι φορείς στη διαδικασία ελέγχου ασφάλειας
δικτύου, οφείλουν να ενημερώσουν άμεσα την ΑΔΑΕ για
οποιεσδήποτε αποκλίσεις ή παραβιάσεις της διαδικασίας ελέγχου ασφάλειας
δικτύου.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν τη διαδικασία
ελέγχου ασφάλειας δικτύου. Μετά από κάθε τέτοιου είδους τροποποίηση, η
πραγματοποίηση οποιουδήποτε νέου ελέγχου ασφάλειας δικτύου, οφείλει να είναι
σύμφωνη με το νέο τροποποιημένο Κανονισμό.
Αρθρο 28
Διαδικασία Αποτίμησης Κινδύνων
1. Η ΑΔΑΕ
μπορεί να διενεργεί αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου εφαρμόζει Διαδικασία Αποτίμησης Κινδύνων
και ακολουθεί τις διαδικασίες που περιγράφονται στις αντίστοιχες διατάξεις του
παρόντος.
2. Ο υπό έλεγχο πάροχος διαδικτύου οφείλει να
παραδώσει στα στελέχη της ΑΔΑΕ την τελευταία Αναφορά
Αποτίμησης Κινδύνων η οποία οφείλει να είναι ενημερωμένη και σύμφωνη με την
υπάρχουσα κατάσταση σε ότι αφορά στους κινδύνους παραβίασης του απορρήτου
επικοινωνιών των χρηστών.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην
Διαδικασία Αποτίμησης Κινδύνων. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να
προσαρμόζει τη Διαδικασία Αποτίμησης Κινδύνων αναλόγως και να συγκαλεί την
Ομάδα Αποτίμησης Κινδύνων εντός της προθεσμίας που θα ορίζεται από το κείμενο
τροποποίησης.
Αρθρο 29
Μεταβατικές Διατάξεις
ΚΕΦΑΛΑΙΟ ΙX
ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
1. Όλοι οι πάροχοι
διαδικτύου υποχρεούνται:
(α) Να ενημερώσουν ως προς την
εφαρμοζόμενη πολιτική ασφάλειας την ΑΔΑΕ εντός έξι
(6) μηνών από τη δημοσίευση του παρόντος.
(β) Να εφαρμόζουν την εγκριθείσα
από την ΑΔΑΕ πολιτική ασφάλειας εντός ενός (1) έτους
από την έγκρισή της.
Αρθρο 30
Έναρξη Ισχύος
ΚΕΦΑΛΑΙΟ X
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
1. Ο παρών Κανονισμός τίθεται σε
ισχύ από την ημερομηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως.
Ο παρών Κανονισμός να δημοσιευθεί
στην Εφημερίδα της Κυβερνήσεως.