12.6 C
Athens
Κυριακή, 4 Δεκεμβρίου, 2022

«Μέτρηση» κυβερνοασφάλειας για δημόσιους και ιδιωτικούς οργανισμούς

  • Γράφει η Μαρία Μόσχου 

Να εντοπίσει τα σημαντικά κενά κυβερνοασφάλειας και να λάβει άμεσα αποφάσεις για υπουργεία και ιδιωτικούς και δημόσιους Οργανισμούς θα επιχειρήσει το Υπουργείο Ψηφιακής Διακυβέρνησης. Ήδη ενέκρινε τον Οδηγό Αυτοξιολόγησης της κυβερνοασφάλειας Οργανισμών ώστε να προστατευθούν βασικές δομές από κυβερνοεπιθέσεις.

Η έξαρση των κυβερνοεπιθέσεων το τελευταίο διάστημα που δημιουργεί σημαντικά προβλήματα παγκοσμίως αλλά και η κοινοτική νομοθεσία οδήγησαν το Υπουργείο Ψηφιακής Διακυβέρνησης στην έκδοση Οδηγού Αυτοαξιολόγησης της ασφάλειας των συστημάτων δικτύου και πληροφοριών των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ).

Όπως αναφέρεται στην σχετική απόφαση «η αυτοαξιολόγηση διενεργείται σε ετήσια βάση ή κατόπιν πρόκλησης σοβαρής διατάραξης της παροχής βασικής υπηρεσίας από συμβάν κυβερνοασφάλειας, με τη χρήση του  Οδηγού.  Ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων του οργανισμού κοινοποιεί στην Εθνική Αρχή Κυβερνοασφάλειας τα αποτελέσματα της αυτοαξιολόγησης, συνοδευόμενα από σχετικό πλάνο διορθωτικών ή βελτιωτικών ενεργειών, εντός προθεσμίας που τάσσεται από την ως άνω Αρχή».

Η απόφαση για την κυβερνοασφάλεια

Η απόφαση υπογράφεται από τον Γενικό Γραμματέα Τηλεπικοινωνιών και Ταχυδρομείων, Δ. Α. Σταβέρη – Πολυκαλά και απευθύνεται κυρίως σε δημόσιους και ιδιωτικούς Οργανισμούς που αποτελούν σημαντικές και κρίσιμες υποδομές για τη χώρα, όπως είναι οι φορείς εκμετάλλευσης βασικών υπηρεσιών, καθώς και κρατικοί φορείς (Υπουργεία, Ανεξάρτητες Αρχές, Βουλή των Ελλήνων, Προεδρία της Δημοκρατίας).

Ζητούμενο για τους εν λόγω Οργανισμούς είναι η επίτευξη ενός υψηλού επιπέδου κυβερνοασφάλειας, προκειμένου τα συστήματα δικτύου και πληροφοριών τους να προστατεύονται επαρκώς από τις συνεχώς εξελισσόμενες κυβερνοαπειλές, να αποκτήσουν την ικανότητα να ανταποκρίνονται έγκαιρα σε περιστατικά κυβερνοεπιθέσεων και να ανακτούν άμεσα τη λειτουργικότητα και τη συνέχιση της παροχής των υπηρεσιών τους.

Με τον Οδηγό αυτοαξιολόγησης ολοκληρώνεται η Δράση «Ανάπτυξη πλαισίου προαγωγής της αριστείας στον τομέα της κυβερνοασφάλειας (cybersecurity excellence management framework)» της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020-2025. Η Δράση ολοκληρώθηκε εξ ολοκλήρου in-house από την Εθνική Αρχή Κυβερνοασφάλειας – Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας και περιλαμβάνει τον Οδηγό αυτοαξιολόγησης καθώς και το Εγχειρίδιο Κυβερνοασφάλειας (Cybersecurity Handbook).

Ο οδηγός αυτοαξιολόγησης

Ο Οδηγός αποτελεί ένα μηχανισμό με τον οποίο οι Οργανισμοί μπορούν να διενεργήσουν αυτοαξιολόγηση του επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών τους. Περιέχει συνολικά 234 σημεία ελέγχου χωρισμένα σε 19 θεματικές ενότητες, οι οποίες είναι οι εξής:

  1. Διοίκηση κυβερνοασφάλειας και διαχείριση επικινδυνότητας
  2. Καταγραφή υλικού και λογισμικού
  3. Ασφαλής παραμετροποίηση εξοπλισμού και εφαρμογών
  4. Έλεγχος εκτέλεσης προγραμμάτων και υπηρεσιών
  5. Διαχείριση λογαριασμών και έλεγχος πρόσβασης
  6. Αυθεντικοποίηση χρηστών
  7. Ασφάλεια δικτύων
  8. Προστασία από κακόβουλο λογισμικό
  9. Τήρηση και ανάλυση αρχείων καταγραφής συμβάντων (event logs)
  10. Ασφάλεια διαδικτυακών εφαρμογών
  11. Απομακρυσμένη εργασία
  12. Χρήση κρυπτογραφίας
  13. Εκπαίδευση και ευαισθητοποίηση σε θέματα κυβερνοασφάλειας
  14. Διαχείριση κινδύνων στην εφοδιαστική αλυσίδα
  15. Υλοποίηση τεχνικών ελέγχων κυβερνοασφάλειας
  16. Μέτρα φυσικής ασφάλειας εγκαταστάσεων
  17. Λήψη αντιγράφων ασφαλείας (backup)
  18. Αντιμετώπιση περιστατικών κυβερνοασφάλειας
  19. Διασφάλιση επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή

Ο Οδηγός αυτοαξιολόγησης και το Εγχειρίδιο Κυβερνοασφάλειας θα πρέπει να χρησιμοποιούνται από κοινού, καθώς τα σημεία ελέγχου του Οδηγού στηρίζονται σε πολύ μεγάλο βαθμό στα controls του Εγχειριδίου Κυβερνοασφάλειας.

Όπως χαρακτηριστικά αναφέρεται στην απόφαση το  το επίπεδο κυβερνοασφάλειας σε έναν Οργανισμό ισούται με το επίπεδο κυβερνοασφάλειας του πιο αδύναμου κρίκου (weakestlink).Για το λόγο αυτό, ο ιΟργανισμοί οφείλουν να εφιστούν την προσοχή τους στα επίμέρους διαγράμματα, ανά θεματική ενότητα, προκειμένου να εντοπίσουν τις συγκεκριμένες ελλείψεις που πρέπει να διορθωθούν.

Οι κύριοι στόχοι του Οδηγού Αυτοαξιολόγησης είναι:

  • Να παρέχει ένα πρακτικό μέσο μέτρησης του επιπέδου κυβερνοασφάλειας ενός Οργανισμού σε συγκεκριμένα βασικά θεματικά πεδία.
  • Να αποτελέσει χρήσιμο βοήθημα για τους Οργανισμούς στο να εντοπίσουν τις ελλείψεις εκείνες που αυξάνουν σημαντικά το βαθμό επικινδυνότητας για τα πληροφοριακά τους συστήματα, προκειμένου να προβούν στην επιλογή των κατάλληλων τεχνικών και οργανωτικών μέτρων που θα ενδυναμώσουν το επίπεδο κυβερνοασφάλειας.
  • Να αποτελέσει απαραίτητο εργαλείο για την εισήγηση και λήψη αποφάσεων (evidence-based decision making) σε σχέση με την κυβερνοασφάλεια.

Κοινοποιηση αρθρου

Τελευταια Νεα

Mελέτη μοτίβων κυκλοφορίας από Nissan -πανεπιστήμιο Vanderbilt και TDOT στις Η.Π.Α

H Nissan σε συνεργασία με το πανεπιστήμιο Vanderbilt και το TDOT στις Η.Π.Α., διεξάγουν μελέτη μοτίβων κυκλοφορίας με στόχο την προώθηση της κινητικότητας του...

Ολυμπία Οδός: «Άσκηση Μεγάλης Κλίμακας» στο σύμπλεγμα των Σηράγγων Κακιάς Σκάλας  

Με επιτυχία πραγματοποιήθηκε στα μέσα Νοεμβρίου η Άσκηση Μεγάλης Κλίμακας στη σήραγγα «Αίθρα» στην περιοχή της Κακιάς Σκάλας. Το σενάριο της άσκησης προέβλεπε επέμβαση στη...

Η Vodafone καλωσόρισε φοιτητές και φοιτήτριες ελληνικών ΑΕΙ

Συμμετέχοντας στα Business Days του Πανοράματος Επιχειρηματικότητας και Σταδιοδρομίας H Vodafone Ελλάδας, μετά από δύο χρόνια διεξαγωγής διαδικτυακών εκδηλώσεων, άνοιξε ξανά τα γραφεία της σε...

ΕΛΤΑ: Έφτασαν τα πρώτα γράμματα προς τον Άγιο Βασίλη 

  «Γράψε ένα γράμμα στον Άγιο Βασίλη» σας προτρέπουν για 31η συνεχόμενη χρονιά τα Ελληνικά Ταχυδρομεία, που φέτος διαθέτουν περισσότερα κόκκινα γραμματοκιβώτια στο δίκτυό τους...

Σε τροχιά υλοποίησης ο εκσυγχρονισμός G Cloud του δημοσίου – Οι ανάδοχοι των έργων

Γράφει η Μαρία Μόσχου  Ο ΟΤΕ είναι προσωρινός ανάδοχος του δεύτερου τμήματος του έργου εκσυγχρονισμού του G Cloud στο δημόσιο. Στο πρώτο τμήμα προσωρινός...