Ο σκοπός αυτής της πολιτικής είναι να διατηρηθεί ένα επαρκές επίπεδο ασφάλειας που να προστατεύει το δεδομένα και πληροφοριακά συστήματα του Δήμου Χερσονήσου (ΔΧ) από αναρμόδια πρόσβαση. Αυτή η πολιτική καθορίζει τους απαραίτητους κανόνες ώστε να επιτευχθεί αυτή η προστασία και να εξασφαλιστεί μια ασφαλής και αξιόπιστη λειτουργία των συστημάτων πληροφοριών του Δήμου Χερσονήσου (ΔΧ) .
Αυτή η πολιτική ισχύει για τις οντότητες και το προσωπικό του Δήμου Χερσονήσου , άλλες αναμεμιγμένες οντότητες ή πρόσωπα καθώς και όλα τα περιληφθέντα συστήματα πληροφοριών σε όλες τις εγκαταστάσεις που χρησιμοποιούν την υποδομή τεχνολογίας πληροφοριών του.
Το πεδίο της πολιτικής ασφαλείας πληροφοριών περιλαμβάνει την προστασία της εμπιστευτικότητας, της ακεραιότητας, και της διαθεσιμότητας των πληροφοριών.
Αυτή η πολιτική ισχύει για όλα τα δεδομένα, το υλικό, τις πληροφορίες, και τις πληροφορίες προσδιορισμού ταυτότητας (ΡΙΙ) και άλλες κατηγορίες προστατευμένων πληροφοριών με οποιαδήποτε μορφή (φυσικό, ηλεκτρονικό, προφορικό κ.λπ.) που ανήκει ή ελέγχεται από τον ΔΧ.
Μόνο στους εξουσιοδοτημένους χρήστες χορηγείται η πρόσβαση στα συστήματα πληροφοριών, και οι χρήστες περιορίζονται συγκεκριμένα καθορισμένους, τεκμηριωμένους, και εγκεκριμένους με αιτήσεις και επίπεδα δικαιωμάτων πρόσβασης. Ο έλεγχος προσπέλασης συστημάτων υπολογιστών και επικοινωνιών πρόκειται να επιτευχθεί μέσω της ταυτότητας του χρήστη (ID) που είναι μοναδικός σε κάθε μεμονωμένο χρήστη ώστε να παρέχει ατομική υπευθυνότητα.
Επηρεασθέντες άνθρωποι και οργανισμοί: Αυτή η πολιτική έχει επιπτώσεις σε όλους τους υπαλλήλους του Δήμου Χερσονήσου και τα υποκαταστήματά του, όλους τους αναδόχους, τους συμβούλους, τους προσωρινούς υπαλλήλους και τους συνέταιρους. Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται.
Επηρεασθέντα συστήματα: Αυτή η πολιτική ισχύει για όλα τα συστήματα υπολογιστών και επικοινωνιών που ανήκουν ή που χρησιμοποιούνται από τον Δήμο Χερσονήσου και τα υποκαταστήματά του. Ομοίως, αυτή η πολιτική ισχύει για όλες τις πλατφόρμες (λειτουργικά συστήματα) και όλα τα συστήματα εφαρμογής του.
Αυθεντικοποίηση οντοτήτων: Κάθε χρήστης (που συνδέεται απομακρυσμένα ή εσωτερικά), έχοντας πρόσβαση στα δίκτυα και τα συστήματα του Δήμου Χερσονήσου πρέπει να αυθεντικοποιηθεί. Το επίπεδο αυθεντικοποίησης πρέπει να είναι κατάλληλο και ανάλογο του επιπέδου ασφαλείας των δεδομένων και του μέσου μετάδοσης. Η αυθεντικοποίηση οντοτήτων περιλαμβάνει αλλά δεν περιορίζεται σε:
Σύστημα ελέγχου προσπέλασης τερματικών σταθμών (Η/Υ): Όλοι οι τερματικοί σταθμοί που χρησιμοποιούνται για την επιχειρησιακή δραστηριότητα του Δήμου Χερσονήσου, οπουδήποτε και να βρίσκονται, πρέπει να χρησιμοποιήσουν ένα σύστημα ελέγχου πρόσβασης εγκεκριμένο από το Δήμο Χερσονήσου. Στις περισσότερες περιπτώσεις αυτό θα περιλαμβάνει ένα screensaver με κωδικό πρόσβασης το οποίο θα ενεργοποιείται όταν παρέλθει ένας ορισμένος χρόνος κατά την διάρκεια του οποίου δεν έχει γίνει κάποια ενέργεια από τον χρήστη καθώς και κωδικό πρόσβασης στην CPU και το BIOS του τερματικού σταθμού. Οι ενεργοί τερματικοί σταθμοί δεν θα πρέπει να αφεθούν αφύλακτοι για παρατεταμένες χρονικές περιόδους, όπου δύναται. Όταν ένας χρήστης αφήνει έναν τερματικό σταθμό, εκείνος ο χρήστης αναμένεται να κάνει αποσύνδεση από όλες τις εφαρμογές και τα δίκτυα. Οι χρήστες θα θεωρηθούν υπεύθυνοι για όλες τις ενέργειες που λαμβάνονται όταν έχουν συνδεθεί σε έναν Η/Υ. Όπου απαιτείται, οι ανενεργοί τερματικοί σταθμοί θα επαναρυθμιστούν μετά από μια περίοδο αδράνειας (χαρακτηριστικά 30 λεπτά). Οι χρήστες θα απαιτηθεί στη συνέχεια να επανασυνδεθούν για να συνεχιστεί η χρήση τους. Αυτό ελαχιστοποιεί την ευκαιρία σε αναρμόδιους χρήστες να κάνουν χρήση των προνομίων του εξουσιοδοτημένου χρήστη κατά τη διάρκεια της απουσίας του.
Ειδοποίηση κοινοποίησης: Μια προειδοποίηση ότι μόνο εκείνοι που πρέπει να έχουν πρόσβαση στο σύστημα πληροφορικής δικαιούνται να εισέλθουν θα πρέπει να εμφανίζεται πριν γίνει η διαδικασία αυθεντικοποίησης. Το μήνυμα προειδοποίησης θα καταστήσει σαφές ότι το σύστημα είναι ένα ιδιωτικής χρήσης δίκτυο ή μια εφαρμογή, και εκείνοι οι αναρμόδιοι χρήστες πρέπει να αποσυνδεθούν αμέσως.
Έλεγχοι προσπέλασης συστημάτων: Έλεγχοι προσπέλασης θα εφαρμοστούν και στις πληροφορίες που βρίσκονται στους τερματικούς σταθμούς, ανάλογα με το επίπεδο ασφαλείας τους, ώστε να εξασφαλίσουν ότι αυτές δεν αποκαλύπτονται εσφαλμένα, τροποποιούνται, διαγράφονται, ή καθίστανται μη διαθέσιμες.
Έγκριση πρόσβασης: Η πρόσβαση σε πληροφοριακά συστήματα δεν θα χορηγηθεί σε οποιοδήποτε χρήστη χωρίς την κατάλληλη έγκριση. Η διοίκηση οφείλει να ειδοποιεί άμεσα το διαχειριστή ασφάλειας και να τον ενημερώνει για όλες τις σημαντικές αλλαγές στα καθήκοντα των τελικών χρηστών ή τη θέση απασχόλησης τους. Η πρόσβαση χρήστη πρόκειται να ανακληθεί αμέσα εάν το άτομο έχει πάψει να απασχολείται στο ΔΧ. Επιπλέον, τα προνόμια χρηστών πρόκειται να αλλαχτούν κατάλληλα εάν ο χρήστης μεταφέρεται σε μια διαφορετική εργασία.
Περιορισμός της πρόσβασης χρηστών: Εγκεκριμένοι έλεγχοι προσπέλασης, θα χρησιμοποιηθούν για να περιορίσουν την πρόσβαση χρηστών μόνο σε εκείνες τις εφαρμογές και λειτουργίες δικτύων για τις οποίες έχουν εξουσιοδοτηθεί.
Ανάγκη Γνώσης : Στους χρήστες θα χορηγηθεί πρόσβαση στις πληροφορίες σύμφωνα με την αρχή της «Ανάγκης Γνώσης (need-to-know)». Δηλαδή οι χρήστες θα λάβουν πρόσβαση στις ελάχιστα αναγκαίες εφαρμογές και τα ελάχιστα προνόμια που απαιτούνται ώστε να εκτελέσουν τις εργασίες τους.
Δηλώσεις συμμόρφωσης: Οι χρήστες που έχουν πρόσβαση στα συστήματα πληροφοριών του ΔΧ πρέπει να υπογράψουν μια δήλωση συμμόρφωσης πριν από την έκδοση ενός ονόματος χρήστη (user ID) και ενός κωδικού. Μια υπογραφή σε αυτήν την δήλωση συμμόρφωσης δείχνει ότι ο χρήστης καταλαβαίνει και συμφωνεί να τηρήσει τις σχετικές με τους υπολογιστές και τα συστήματα πληροφοριών πολιτικές και τις διαδικασίες του ΔΧ. Οι ετήσιες επιβεβαιώσεις θα απαιτηθούν από όλους τους χρήστες συστημάτων.
Ίχνη ελέγχου και καταγραφή: Τα ίχνη καταγραφής και ελέγχου είναι βασισμένα στο επίπεδο ασφαλείας πληροφοριών που διαχειρίζεται κάθε Η/Υ.
Εμπιστευτικά συστήματα: Η πρόσβαση στα εμπιστευτικά συστήματα θα καταγραφεί και θα ελεγχθεί κατά τρόπο που να επιτρέπει στις ακόλουθες πληροφορίες να συγκεντρωθούν:
Επιπλέον, τα αρχεία καταγραφής της πρόσβασης στο εσωτερικό δίκτυο του ΔΧ από συστήματα έξω από την καθορισμένη περίμετρο του εσωτερικού δικτύου του πρέπει να διατηρούνται.
Τα ίχνη ελέγχου (audit trails) για τα εμπιστευτικά συστήματα πρέπει να αποθηκευτούν και να έχουν παρθεί αντίγραφά τους σύμφωνα με τα σχέδια υποστήριξης και αποκατάστασης του ΔΧ από ενδεχόμενη καταστροφή. Όλα τα αρχεία καταγραφής συστημάτων και εφαρμογών πρέπει να διατηρηθούν σε μια μορφή που δεν μπορεί να αναγνωσθεί εύκολα από αναρμόδια πρόσωπα. Όλα τα αρχεία καταγραφής πρέπει να ελεγχθούν σε περιοδική βάση. Τα αποτελέσματα ελέγχου για αυτά πρέπει να περιληφθούν σε περιοδικές διοικητικές εκθέσεις.
Πρόσβαση για τους μη-υπαλλήλους: Στα άτομα που δεν είναι υπάλληλοι, τους αναδόχους, στους συμβούλους, ή στους συνέταιρους δεν πρέπει να χορηγηθεί ένα όνομα-χρήστη (user-ID) ή να τους δοθούν προνόμια για να χρησιμοποιήσουν τους υπολογιστές του ΔΧ ή άλλα συστήματα πληροφοριών εκτός αν πρώτα τους χορηγηθεί γραπτή έγκριση του επικεφαλής τμήματος. Προτού να δοθεί σε οποιοδήποτε τρίτο ή συνέταιρο η πρόσβαση σε υπολογιστές ή συστήματα πληροφοριών του ΔΧ, μια συμφωνία εμπιστοσύνης που καθορίζει επακριβώς τους όρους αυτής της πρόσβασης πρέπει να έχει υπογραφεί από αυτόν.
Αναρμόδια πρόσβαση: Οι υπάλληλοι απαγορεύεται να αποκτήσουν αναρμόδια πρόσβαση σε οποιαδήποτε συστήματα πληροφοριών ή με κάθε τρόπο να τα καταστρέψουν, αλλάζοντας, ή επηρεάζοντας τις διαδικασίες αυτών των συστημάτων. Τα προνόμια συστημάτων που επιτρέπουν την τροποποίηση των δεδομένων παραγωγής πρέπει να περιοριστούν μόνο στις εφαρμογές που παράγουν αυτά τα δεδομένα.
Εξ' αποστάσεως πρόσβαση: Η εξ' αποστάσεως πρόσβαση πρέπει να συμμορφώνεται με όλες τις νομικές απαιτήσεις λαμβάνοντας υπόψη κατ’ ελάχιστο το GDPR. (εδώ τι εννοούμαι?)
Για να αποκτήσουν πρόσβαση στα συστήματα πληροφοριών του ΔΧ, οι εξουσιοδοτημένοι χρήστες, ως μέσο αυθεντικοποίησης πρέπει να γνωρίζουν τους εξατομικευμένους κωδικούς πρόσβασης. Αυτοί οι κωδικοί πρόσβασης πρέπει να συμμορφώνονται με συγκεκριμένους κανόνες που περιλαμβάνονται στο παρόν έγγραφο.
Επηρεασθέντες άνθρωποι και οργανισμοί: Αυτή η πολιτική έχει επιπτώσεις σε όλους τους υπαλλήλους τού ΔΧ και των υποκαταστημάτων του, και όλους τους αναδόχους, τους συμβούλους, τους προσωρινούς υπαλλήλους, και τους συνέταιρους. Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται.
Επηρεασθέντα συστήματα: Αυτή η πολιτική ισχύει για όλα τα συστήματα υπολογιστών και επικοινωνιών που είναι στην κατοχή ή που χρησιμοποιούνται από το ΔΧ και τα υποκαταστήματά του. Ομοίως, αυτή η πολιτική ισχύει για όλες τις πλατφόρμες (λειτουργικά συστήματα) και όλα τα συστήματα εφαρμογής.
Αυθεντικοποίηση χρηστών: Όλα τα συστήματα θα απαιτήσουν ένα όνομα-χρήστη (user-ID) και έναν κωδικό πρόσβασης. Λογαριασμοί χρηστών οι οποίοι δεν αντιστοιχούν σε φυσικά πρόσωπα θα διαγράφονται ή θα απενεργοποιούνται.
Αποθήκευση κωδικού πρόσβασης: οι κωδικοί πρόσβασης δεν θα αποθηκεύονται σε μορφή που μπορεί να αναγνωστεί χωρίς να υπάρχει έλεγχος πρόσβασης ή σε άλλες τοποθεσίες όπου μία αρμόδια πρόσωπα μπορούν να τους ανακαλύψουν. Όλοι αυτοί οι κωδικοί πρόσβασης πρέπει να ελέγχονται αυστηρά είτε με φυσική ασφάλεια είτε με ελέγχους πληροφορικής.
Εφαρμογές για τις οποίες απαιτείται κωδικός πρόσβασης: Όλα τα προγράμματα, συμπεριλαμβανομένου αγορασμένου λογισμικού από τρίτους καθώς και εφαρμογές που αναπτύσσονται εσωτερικά από τον ΔΧ πρέπει να προστατεύονται από κωδικούς πρόσβασης.
Επιλογή των κωδικών πρόσβασης: Όλοι οι επιλεγμένοι από τους χρήστες κωδικοί πρόσβασης πρέπει να αποτελούνται από τουλάχιστον οκτώ χαρακτήρες, να περιέχουν τουλάχιστον έναν αλφαβητικό, ένας μη αλφαβητικός χαρακτήρας και ένας αριθμός. Απαγορεύεται η χρήση χαρακτήρων ελέγχου και χαρακτήρων που δεν τυπώνονται. Όλοι οι χρήστες πρέπει αυτόματα να αναγκαστούν να αλλάξουν τους κωδικούς πρόσβασής τους, στους κατάλληλους για το επίπεδο ασφαλείας πληροφοριών. Για να λάβει έναν νέο κωδικό πρόσβασης, ένας χρήστης πρέπει να παρουσιάσει το κατάλληλο πιστοποιητικό (ταυτότητα).
Αλλαγή κωδικών πρόσβασης: Όλοι οι κωδικοί πρόσβασης πρέπει να αλλάξουν αμέσως εάν υπάρχουν υποψίες ότι έχουν αποκαλυφθεί ή η γνώση ότι αποκαλύφθηκαν από μία αρμόδια πρόσωπα οι οντότητες. Όλοι οι χρήστες πρέπει να αναγκάζονται να αλλάζουν τους κωδικούς πρόσβασής τους τουλάχιστον μιά φορά κάθε εξήντα (60) ημέρες.
Περιορισμοί κωδικού πρόσβασης: Η επίδειξη και η εκτύπωση των κωδικών πρόσβασης πρέπει να είναι συγκαλυμμένη, έτσι ώστε αναρμόδια πρόσωπα να μην είναι σε θέση να τους παρατηρήσουν και να τους ανακτήσουν στη συνέχεια. Μετά από τρεις ανεπιτυχείς προσπάθειες να γράφει ο κωδικός πρόσβασης, ο εμπλεκόμενος χρήστης θα πρέπει είτε:
(a) να μπει σε αναστολή μέχρι ο διαχειριστής να τον επαναφέρει σε χρήση,
(b) να μπει προσωρινά εκτός λειτουργίας για τουλάχιστον τρία λεπτά, ή
(c) εάν γίνεται προσπάθεια εισόδου από εξωτερικό δίκτυο ή απομακρυσμένη σύνδεση, να διακόπτεται η σύνδεση του.