Σκοπός

Ο σκοπός αυτής της πολιτικής είναι να περιγραφεί η αποδεκτή χρήση του εξοπλισμού υπολογιστών του Δήμου Χερσονήσου (ΔΧ). Αυτοί οι κανόνες είναι σε ισχύ ώστε να προστατευθούν οι υπάλληλοι και ο ΔΧ. Η ακατάλληλη χρήση εκθέτει τον ΔΧ σε κινδύνους συμπεριλαμβανομένων των επιθέσεων από ιούς Η/Υ, επιθέσεων από κακόβουλους χρήστες σε συστήματα και υπηρεσίες δικτύων, και επακόλουθες νομικές επιπλοκές.

Πεδίο

Αυτή η πολιτική ισχύει για τις οντότητες και το προσωπικό του Δήμου Χερσονήσου (ΔΧ) και το Τμήμα Τεχνολογιών Πληροφορικής, Επικοινωνιών (ΤΠΕ) και Ηλεκτρονικής Διακυβέρνησης του Δήμου Χερσονήσου (ΤΠΕΗΔΔΧ), για όλα τα περιληφθέντα πρόσωπα ή οντότητες και όλα τα περιληφθέντα συστήματα σε όλες τις εγκαταστάσεις που χρησιμοποιούν στην υποδομή τεχνολογίας πληροφοριών του.

Όλοι οι υπάλληλοι, οι ανάδοχοι, οι σύμβουλοι, οι προσωρινοί υπάλληλοι και άλλοι εργαζόμενοι του ΔΧ και τα υποκαταστήματά του είναι αρμόδιοι για την άσκηση της σωστής κρίσης (due diligence)  σχετικά με την κατάλληλη χρήση (due care) των πληροφοριών, των ηλεκτρονικών συσκευών, και των πόρων δικτύων σύμφωνα με τις πολιτικές και τα πρότυπα του ΔΧ και των τοπικών νόμων και κανονισμών.

Αυτή η πολιτική ισχύει για τους υπαλλήλους, τους αναδόχους, τους συμβούλους, τους προσωρινούς, και άλλους εργαζομένους του ΔΧ, συμπεριλαμβανομένου όλου του προσωπικού που συνδέεται με τρίτους. Αυτή η πολιτική ισχύει για όλο τον εξοπλισμό που είναι στην ιδιοκτησία ή μισθώνεται από τον ΔΧ.

Δήλωση Πολιτικής

Γενική χρήση και ιδιοκτησία

Οι ιδιόκτητες πληροφορίες του ΔΧ που αποθηκεύονται στους Η/Υ και τα πληροφοριακά συστήματα, είτε είναι ιδιόκτητα είτε μισθώνονται από το ΔΧ, από υπαλλήλους του είτε από τρίτους, παραμένουν ιδιοκτησία του ΔΧ. Πρέπει να εξασφαλίσετε μέσω των νομικών ή τεχνικών μέσων ότι οι ιδιόκτητες πληροφορίες προστατεύονται σύμφωνα με τα πρότυπα προστασίας δεδομένων.

Έχετε την ευθύνη να αναφέρεται αμέσως την κλοπή, την απώλεια, ή την αναρμόδια κοινοποίηση των ιδιόκτητων πληροφοριών του ΔΧ.

Μπορείτε να έχετε πρόσβαση, να χρησιμοποιήσετε, ή να μοιράζεστε τις ιδιόκτητες πληροφορίες του ΔΧ μόνο στην έκταση που είστε εξουσιοδοτημένοι και είναι απαραίτητο ώστε να εκπληρώσετε τα καθήκοντα εργασίας σας.

Οι υπάλληλοι είναι υπεύθυνοι για την άσκηση της καλής κρίσης σχετικά με την κατάλληλη χρήση (due care). Το Τμήμα Τεχνολογιών Πληροφορικής, Επικοινωνιών (ΤΠΕ) και Ηλεκτρονικής Διακυβέρνησης του Δήμου Χερσονήσου (ΤΠΕΗΔΔΧ) είναι αρμόδιο για τη δημιουργία οδηγιών σχετικά με την αποδεκτή χρήση των συστημάτων Διαδικτύου/εσωτερικού δικτύου/ εξωτερικού δικτύου. Ελλείψει τέτοιων πολιτικών, οι υπάλληλοι πρέπει να καθοδηγηθούν από τις υπηρεσιακές πολιτικές για αποδεκτή χρήση, και εάν υπάρχει οποιαδήποτε αβεβαιότητα, οι υπάλληλοι πρέπει να συμβουλευθούν τον προϊστάμενο ή το διευθυντή τους.

Για λόγους ασφάλειας και συντήρησης δικτύων, τα εξουσιοδοτημένα άτομα μέσα στο ΔΧ μπορούν να ελέγξουν τον εξοπλισμό, τα συστήματα, και την κυκλοφορία δικτύων ανά πάσα στιγμή σύμφωνα με το ISMSD-07 Εσωτερικές Επιθεωρήσεις.

Ο ΔΧ διατηρεί το δικαίωμα να ελεγχθούν τα δίκτυα και τα συστήματα σε περιοδική βάση για να εξασφαλίσει τη συμμόρφωση με αυτήν την πολιτική.

Ασφάλεια και ιδιόκτητες πληροφορίες

Όλοι οι Η/Υ που συνδέονται με το εσωτερικό δίκτυο πρέπει να έχουν ελάχιστη πρόσβαση.

Οι κωδικοί πρόσβασης των συστημάτων και των χρηστών πρέπει να συμμορφώνονται με την ISMSP-02 Πολιτική ελέγχου πρόσβασης. Η παροχή πρόσβασης σε αναρμόδια άτομα, είτε σκόπιμα είτε από αποτυχία να διαφυλαχθεί η πρόσβαση, είναι απαγορευμένη.

Όλοι οι Η/Υ πρέπει να εξασφαλίζονται με αυτόματο κωδικό πρόσβασης - screensaver και καθορισμένη ενεργοποίηση μετά από 10 λεπτά ή λιγότερο. Πρέπει να κλειδώνετε την οθόνη ή να κάνετε έξοδο από το σύστημα όταν η συσκευή θα παραμείνει αφύλακτη.

Η ταχυδρόμηση από τους υπαλλήλους από τη διεύθυνση ηλεκτρονικού ταχυδρομείου του ΔΧ σε ομάδες πληροφόρησης (newsgroups) να περιέχει μια δήλωση αποκήρυξης ότι οι απόψεις που εκφράζονται είναι αυστηρά δικοί τους και όχι του ΔΧ, εκτός αν η ταχυδρόμηση είναι κατά τη διάρκεια/ή και για τα επιχειρησιακά τους καθήκοντα.

Οι υπάλληλοι πρέπει να είναι εξαιρετικά προσεκτικοί κατά άνοιγμα επισυναπτόμενων αρχείων μέσω του ηλεκτρονικού ταχυδρομείου τα οποία στέλνονται από άγνωστους αποστολείς και μπορούν να περιέχουν κακόβουλο λογισμικό (malware).

Μη αποδεκτή χρήση

Οι ακόλουθες δραστηριότητες είναι, γενικά, απαγορευμένες. Οι υπάλληλοι μπορούν να απαλλαχθούν από αυτούς τους περιορισμούς κατά τη διάρκεια των νόμιμων ευθυνών εργασίας τους (π.χ., το προσωπικό διοίκησης συστημάτων μπορεί να πρέπει να θέσει εκτός λειτουργίας την πρόσβαση στο δίκτυο ενός χρήστη εάν εκείνος ο χρήστης δημιουργεί πρόβλημα στις ηλεκτρονικές υπηρεσίες του ΔΧ).

Σε καμία περίπτωση δεν είναι ένας υπάλληλος του ΔΧ εξουσιοδοτημένος για να συμμετέχει σε οποιαδήποτε δραστηριότητα που είναι παράνομη βάσει του ελληνικού ή διεθνούς δικαίου χρησιμοποιώντας τους πληροφοριακούς πόρους του ΔΧ.

Οι κατωτέρω λίστες δεν είναι με κανένα τρόπο πλήρεις αλλά προσπαθούν να παρέχουν ένα πλαίσιο για τις δραστηριότητες που εμπίπτουν στην κατηγορία της μη αποδεκτής χρήσης.

Δραστηριότητες συστημάτων και δικτύων

Οι ακόλουθες δραστηριότητες είναι αυστηρά απαγορευμένες, χωρίς εξαιρέσεις:

  • Παραβιάσεις των δικαιωμάτων οποιουδήποτε προσώπου ή της επιχείρησης που προστατεύεται από τα πνευματικά δικαιώματα, εμπορικά μυστικά,  δίπλωμα ευρεσιτεχνίας ή άλλη πνευματική ιδιοκτησία, ή τους παρόμοιους νόμους ή τους κανονισμούς, συμπεριλαμβανομένου, αλλά που δεν περιορίζεται, στην εγκατάσταση ή τη διανομή παράνομων ή άλλων προϊόντων λογισμικού που δεν είναι κατάλληλα χορηγημένα με νόμιμη άδεια χρήσης από τον ΔΧ.
  • Απαγορεύεται στους χρήστες, η αναρμόδια αντιγραφή  κατοχυρωμένου από πνευματικά δικαιώματα ψηφιακού υλικού συμπεριλαμβανομένων, αλλά μη περιορισμένων, η ψηφιακή μετατροπή και διανομή των φωτογραφιών από περιοδικά, βιβλία ή άλλες πηγές, η  κατοχυρωμένη από πνευματικά δικαιώματα μουσική, και η εγκατάσταση οποιεσδήποτε λογισμικού για το οποίο ο ΔΧ ή ο χρήστης δεν έχει μια ενεργή άδεια.
  • Απαγορεύεται στους χρήστες, η πρόσβαση σε δεδομένα, κεντρικούς εξυπηρετητές, ή σε λογαριασμούς χρηστών για οποιοδήποτε σκοπό, ακόμα κι αν έχει τη δυνατότητα πρόσβασης, εκτός από την περίπτωση που γίνεται στο πλαίσιο άσκησης των επιχειρησιακών τους καθηκόντων στο ΔΧ.
  • Η εξαγωγή λογισμικού, τεχνικών πληροφοριών, λογισμικού κρυπτογράφησης ή  τεχνολογίας, κατά παράβαση των διεθνών ή ελληνικών νόμων ελέγχου εξαγωγής, είναι παράνομη. Η κατάλληλη διαχείριση πρέπει να συμβουλευθεί πριν από την εξαγωγή οποιουδήποτε υλικού που είναι εν αμφιβόλω.
  • Η εισαγωγή κακόβουλων προγραμμάτων στο δίκτυο ή τον κεντρικό εξυπηρετητή (π.χ., viruses, worms, Trojan horses, e-mail bombs, κ.λπ.).
  • Η αποκάλυψη του κωδικού πρόσβασης σας σε άλλους ή άδεια χρήσης του λογαριασμού σας από άλλους. Αυτό περιλαμβάνει την οικογένεια και άλλα μέλη όταν η εργασία γίνεται στο σπίτι.
  • Η χρήση των πληροφοριακών πόρων του ΔΧ, για να συμμετέχει ενεργά στην προμήθευση ή τη διαβίβαση  ψηφιακού υλικού που, θεωρείται σεξουαλική παρενόχληση ή αντιβαίνει την κείμενη νομοθεσία.
  • Να υποβάλει ψευδείς προσφορές  προϊόντων, αντικειμένων, ή υπηρεσιών που προέρχονται από οποιοδήποτε λογαριασμό του ΔΧ.
  • Κάνοντας δηλώσεις για εγγύηση, ρητώς ή υπονοούμενος, εκτός αν είναι ένα μέρος των κανονικών καθηκόντων εργασίας.
  • Εκτέλεση παραβιάσεων ασφαλείας ή διακοπή της επικοινωνίας δικτύων. Οι παραβιάσεις ασφαλείας περιλαμβάνουν, αλλά δεν περιορίζονται, στην πρόσβαση σε δεδομένα των οποίων ο υπάλληλος δεν είναι ένας από τους προοριζόμενους παραλήπτες ή η πρόσβαση σε έναν κεντρικό υπολογιστή ή έναν λογαριασμό που ο υπάλληλος δεν εξουσιοδοτείται ρητώς για να έχει πρόσβαση, εκτός αν αυτά τα καθήκοντα είναι στα πλαίσια των κανονικών του καθηκόντων. Για λόγους αυτού του τμήματος, «η διακοπή» περιλαμβάνει, αλλά δεν περιορίζεται, network sniffing, pinged floods, packet spoofing, denial of service, and forged routing information για κακόβουλους λόγους.
  • Η ανίχνευση Port scanning ή security scanning είναι ρητώς απαγορευμένη εκτός αν υπάρχει προγενέστερη ενημέρωση στο Τμήμα Τεχνολογιών Πληροφορικής, Επικοινωνιών (ΤΠΕ) και Ηλεκτρονικής Διακυβέρνησης του Δήμου Χερσονήσου (ΤΠΕΗΔΔΧ).
  • Η εκτέλεση οποιασδήποτε μορφής ελέγχου δικτύων που θα παρεμποδίσει τα δεδομένα εκτός αν αυτή η δραστηριότητα είναι μέρος των κανονικών εργασιών/του καθήκοντος του υπαλλήλου.
  • Παράκαμψη της αυθεντικοποίησης χρηστών ή της ασφάλειας οποιουδήποτε οικοδεσπότη, δικτύου, ή λογαριασμού.
  • Η εισάγωγή honeypots, honeynets, ή παρόμοιας τεχνολογία στο του ΔΧ.
  • Η παρεμπόδιση ή άρνηση της υπηρεσίας σε οποιοδήποτε χρήστη (παραδείγματος χάριν η επίθεση άρνηση υπηρεσιών).
  • Χρησιμοποιώντας οποιεσδήποτε πρόγραμμα/script/εντολή, ή στέλνοντας μηνύματα οποιουδήποτε είδους, με την πρόθεση  να παρεμβεί, ή να θέσει εκτός λειτουργίας, την σύνδεση ενός χρήστη, μέ οποιαδήποτε μέσα, τοπικά ή μέσω του Διαδικτύου/του ενδοδικτύου/εξωτερικού δικτύου.
  • Η παροχή πληροφοριών, ή καταλόγων με τους υπαλλήλους του ΔΧ σε χρήστες εκτός του ΔΧ.

Δραστηριότητες ηλεκτρονικού ταχυδρομείου και επικοινωνίας

Όταν γίνεται χρήση των πληροφοριακών συστημάτων για να γίνει πρόσβαση στο διαδίκτυο οι χρήστες πρέπει να κατανοούν ότι αντιπροσωπεύουν το ΔΧ. Όποτε οι υπάλληλοι δηλώνουν έναν συνεταιρισμό στον ΔΧ, πρέπει επίσης σαφώς να αποδείξουν ότι «οι απόψεις που εκφράζονται είναι δικές τους και όχι απαραιτήτως του ΔΧ. Για  ερωτήσεις μπορούν να απευθυνθούν στο ΤΠΕΗΔΔΧ.

  • Στέλνοντας εκούσια μηνύματα ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένης της αποστολής «junk mail» ή άλλου υλικού διαφήμισης σε άτομα που δεν ζήτησαν συγκεκριμένα τέτοιο υλικό (ηλεκτρονικό ταχυδρομείο spam).
  • Οποιαδήποτε μορφή παρενόχλησης μέσω του ηλεκτρονικού ταχυδρομείου, ή του τηλεφώνου, είτε διάμεσο  ομιλίας, είτε  μηνυμάτων.
  • Αναρμόδια χρήση των πληροφοριών ηλεκτρονικού ταχυδρομείου (forging, of email header information).
  • Solicitation of email for any other email address, other than that of the poster's account, with the intent to harass or to collect replies.
  • Creating or forwarding "chain letters", "Ponzi" or other "pyramid" schemes of any type.
  • Χρήση ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου που προέρχονται από δίκτυα ΔΧ άλλων παρόχων υπηρεσιών Internet/Intranet/Extranet  για λογαριασμό ή για διαφήμιση οποιασδήποτε υπηρεσίας που φιλοξενείται από το ΔΧ ή συνδέεται μέσω δικτύου του  ΔΧ.
  • Δημοσίευση των ίδιων ή παρόμοιων μηνυμάτων που δεν σχετίζονται με το ΔΧ σε μεγάλο αριθμό ομάδων συζήτησης Usenet (ανεπιθύμητη αλληλογραφία ομάδων συζήτησης)
  • Το blogging από τους εργαζόμενους, είτε χρησιμοποιεί ιδιοκτησιακή ιδιοκτησία και συστήματα ή συστήματα προσωπικών υπολογιστών, υπόκειται επίσης στους όρους και τους περιορισμούς που ορίζονται στην παρούσα Πολιτική. Η περιορισμένη και περιστασιακή χρήση των συστημάτων ΔΧ για τη συμμετοχή σε blogging είναι αποδεκτή, υπό την προϋπόθεση ότι γίνεται με επαγγελματικό και υπεύθυνο τρόπο, δεν παραβιάζει με άλλο τρόπο την πολιτική του ΔΧ, δεν είναι επιζήμια για τα συμφέροντα του ΔΧ και δεν παρεμβαίνει στα τακτικά εργασιακά καθήκοντα του εργαζόμενου. Το blogging από τα συστήματα ΔΧ υπόκειται επίσης σε παρακολούθηση.
  • Η πολιτική ασφάλειας πληροφοριών του ΔΧ ισχύει επίσης για το blogging. Ως εκ τούτου, οι Εργαζόμενοι απαγορεύεται να αποκαλύπτουν οποιαδήποτε εμπιστευτικές ή ιδιόκτητες πληροφορίες, εμπορικά μυστικά ή οποιοδήποτε άλλο υλικό που καλύπτεται από την πολιτική πληροφοριών ΔΧ όταν ασχολούνται με το blogging.
  • Οι εργαζόμενοι δεν πρέπει να συμμετέχουν σε οποιοδήποτε blogging που μπορεί να βλάψει ή να αμαυρώσει την εικόνα, τη φήμη και / ή την καλή θέληση του ΔΧ και / ή οποιουδήποτε από τους υπαλλήλους της. Οι εργαζόμενοι απαγορεύεται επίσης να κάνουν οποιαδήποτε μεροληπτικά, υποτιμητικά, δυσφημιστικά ή ενοχλητικά σχόλια όταν blogging ή με άλλο τρόπο τη συμμετοχή σε οποιαδήποτε συμπεριφορά που απαγορεύεται από την πολιτική απαγόρευσης των διακρίσεων και κατά της παρενόχλησης
  • Οι εργαζόμενοι δεν μπορούν επίσης να αποδίδουν προσωπικές δηλώσεις, απόψεις ή πεποιθήσεις του ΔΧ όταν ασχολούνται με το blogging. Εάν ένας εργαζόμενος εκφράζει τις πεποιθήσεις του ή/και τις απόψεις του σε ιστολόγια, ο εργαζόμενος δεν μπορεί, ρητά ή σιωπηρά, να εκπροσωπεί τον εαυτό του ως εργαζόμενος ή εκπρόσωπος του ΔΧ . Οι εργαζόμενοι αναλαμβάνουν όλους τους κινδύνους που σχετίζονται με το blogging.
  • Εκτός από την τήρηση όλων των νόμων που αφορούν το χειρισμό και την αποκάλυψη υλικού που προστατεύεται από πνευματικά δικαιώματα ή έχει ελεγχθεί η εξαγωγή, τα εμπορικά σήματα, τα λογότυπα και οποιαδήποτε άλλη πνευματική ιδιοκτησία του ΔΧ δεν μπορούν επίσης να χρησιμοποιηθούν σε σχέση με οποιαδήποτε δραστηριότητα blogging

Ιστολόγιο και κοινωνικά μέσα δικτύωσης

Πολιτική συμμόρφωση

Μέτρηση συμμόρφωσης

Η ομάδα ασφάλειας πληροφοριών θα επαληθεύσει τη συμμόρφωση με αυτήν την πολιτική μέσω διαφόρων μεθόδων, συμπεριλαμβανομένων ενδεικτικά των αναφορών επιχειρηματικών εργαλείων, των εσωτερικών και εξωτερικών ελέγχων και των σχολίων προς τον κάτοχο της πολιτικής.  

Εξαιρέσεις

Οποιαδήποτε εξαίρεση στην πολιτική πρέπει να εγκριθεί από την ομάδα ασφάλειας πληροφοριών εκ των προτέρων.

Μη συμμόρφωση

Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται, συμπεριλαμβανομένης τη λήξη της απασχόλησης.