09/12/2024
Πολιτική προστασίας Δεδομένων και Συστημάτων
Στον ΕΦΕΠΑΕ έχει αναπτυχθεί και εφαρμόζεται σύστημα για την προστασία των δεδομένων που βρίσκονται σε ευχέρεια διαχείρισης από τον φορέα.
Ειδικότερα, η Πολιτική Προστασίας Δεδομένων & Συστημάτων ΕΦΕΠΑΕ έχει αναπτυχθεί με μεθόδους κατά τις οποίες:
1) εξασφαλίζεται η πλήρης εναρμόνιση του φορέα με το σύνολο του νομοθετικού κανονιστικού πλαισίου σχετικά με την προστασία των προσωπικών δεδομένων,
2) προστατεύεται το σύνολο των έντυπων και ψηφιακών δεδομένων συμπεριλαμβανομένων των ειδικότερα επιχειρησιακών και αυτών που αφορούν στο ελεγκτικό έργο του φορέα,
3) αναπτύσσεται σύστημα κυβερνοασφάλειας ώστε να εξασφαλίζεται κατά το δυνατότερο η δραστηριότητα του φορέα σε επίπεδο διαδικτύου, καθώς κατά την εσωτερική επιχειρησιακή του λειτουργία,
4) εκσυγχρονίζονται οι υποδομές σε επίπεδο κτηρίων και πληροφοριακών συστημάτων, καθώς και αναπτύσσονται τεχνικές αποκρίσεων και επανορθώσεων απέναντι σε ευρύ φάσμα πιθανών διακινδυνεύσεων σχετικά με την ακεραιότητα των δεδομένων, την εφαρμογή των επιχειρησιακών διαδικασιών και την απρόσκοπτη επιχειρησιακή συνέχεια,
5) διασφαλίζεται ειδικότερα η μεταχείριση των δεδομένων των υποψήφιων και ενεργών δικαιούχων κρατικών ενισχύσεων από τα στελέχη και τα επιχειρησιακά όργανα του φορέα,
6) καλλιεργείται κουλτούρα ορθής μεταχείρισης δεδομένων από των σύνολο των στελεχών του φορέα.
Προδιαγραφές και τομείς εφαρμογής της ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ & ΣΥΣΤΗΜΑΤΩΝ ΕΦΕΠΑΕ
Ο ΕΦΕΠΑΕ διαχειρίζεται αποκλειστικά τα δεδομένα που του παραχωρούνται με νόμιμο τρόπο σύμφωνα με τις συμβάσεις και τις συμφωνίες στο πλαίσιο ανάληψης επιχειρησιακού -ελεγκτικού έργου και σύμφωνα με αυτές που αφορούν τις εσωτερικές επιχειρησιακές λειτουργικές και ανάγκες του φορέα.
Οι τομείς της λειτουργίας του ΕΦΕΠΑΕ στους οποίους εφαρμόζονται ειδικότερα μέτρα ασφάλειας σχετικά με την διαχείριση των δεδομένων και την προστασία των πληροφοριακών συστημάτων, αναφέρονται παρακάτω:
- Η κατανομή ρόλων και αρμοδιοτήτων για τα εργαζόμενα στελέχη από πλευράς της διοίκησης ΕΦΕΠΑΕ, αποτελεί την βάση για τον καθορισμό του επιπέδου πρόσβασης σε επιχειρησιακά δεδομένα από τα εν λόγω.
- Η εφαρμογή και διάχυση στο σύνολο του φορέα ορισμένης κουλτούρας «ευαισθησίας και επαγρύπνησης» ως προς τη μεταχείριση των δεδομένων και των πληροφοριακών συστημάτων.
- Η δέσμευση για την εμπιστευτικότητα σε επίπεδο συμβάσεων προσωπικού.
- Η διαβάθμιση των πληροφοριών και των δεδομένων ανάλογα με την νομική και κανονιστική σημαντικότητα αυτών, και η διαμόρφωση «επιπέδων» πληροφόρησης τα οποία αναλόγως ανατίθενται προς επεξεργασία στο προσωπικό του ΕΦΕΠΑΕ.
- Η θέσπιση της ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ ΣΥΣΤΗΜΑΤΩΝ & ΔΕΔΟΜΕΝΩΝ ΕΦΕΠΑΕ.
- Πρόνοια για την φροντίδα της φυσικής ασφάλειας των εγκαταστάσεων, εντός των οποίων λειτουργούν τα πληροφοριακά συστήματα, καθώς και το φυσικό αρχείο που τηρείται σε κάθε περιφερειακή μονάδα ΕΦΕΠΑΕ και περιέχει δεδομένα σε έντυπη μορφή.
- Παροχή της απαραίτητης και αναγκαίας τεχνικής και διοικητικής υποστήριξης στον DPO (Υπεύθυνο προστασίας δεδομένων) ΕΦΕΠΑΕ και στον Υπεύθυνο Προστασίας Πληροφοριακών Συστημάτων.
- Λήψη μέτρων και εφαρμογή διαδικασιών για την αποφυγή περιστατικών διαρροών δεδομένων και άλλων ευρύτερων διακινδυνεύσεων ως προς την ασφάλεια των συστημάτων.
- Μέριμνα για την παροχή των απαραίτητων πόρων, προκειμένου για την αποτελεσματική, ασφαλή και αδιάλειπτη λειτουργία των πληροφοριακών συστημάτων και κάθε διαδικασίας που σχετίζεται με της προστασίας των δεδομένων.
- Παρακολούθηση σε τακτική βάση των νέων τεχνολογικών εξελίξεων και των κανονιστικών και νομικών αναβαθμίσεων ώστε να λαμβάνεται μέριμνα για τη συνεχή αναβάθμιση και βελτίωση του εξοπλισμού των πληροφοριακών συστημάτων και αντίστοιχα των μέτρων και των διαδικασιών για την προστασία των Δεδομένων.
Μέτρα που αφορούν στη ροή των δεδομένων κατά την τέλεση επιχειρησιακών διεργασιών του ΕΦΕΠΑΕ
- Οι επιχειρησιακές διαδικασίες είναι ελεγχόμενες ως προς την ροή των δεδομένων που υπόκεινται επεξεργασία κατά την τέλεση των λειτουργιών του φορέα.
- Αναλόγως με την ιεραρχική αρμοδιότητα ανατίθενται κατηγορίες και σύνολα δεδομένων από το εξουσιοδοτημένο στέλεχος, σύμφωνα με τα πρότυπα του «Υπευθύνου Επεξεργασίας» σε ότι αφορά την εσωτερική κατανομή ρόλων, προς το υφιστάμενο για την τέλεση των αναγκαίων σχετικών επεξεργασιών ως επιχειρησιακό «Εκτελούντα» επεξεργασία δεδομένων.
Μέτρα που αφορούν τα τεχνολογικά συστήματα που χρησιμοποιούνται από τον φορέα
- Τα τεχνολογικά συστήματα που λειτουργούν εντός του φορέα είναι ασφαλισμένα σε προχωρημένο βαθμό ως προς πιθανές εξωγενείς ηλεκτρονικές παρεισφρήσεις και μη ασφαλείς διαδικτυακές περιηγήσεις.
- Η πρόσβαση των χρηστών στους ηλεκτρονικούς υπολογιστές που ανήκουν στον φορέα, είναι ελεγχόμενη σε κεντρικό επίπεδο.
- Εφαρμόζεται password policy.
- Το σύνολο των ψηφιακών δεδομένων είναι κρυπτογραφημένα.
- Το σύνολο των ενεργειών που πράττονται από το στελεχικό δυναμικό του φορέα ελέγχεται μέσω της εξαγωγής θεώρησης και ανασκόπησης log files.
- Τηρούνται πλήρη και σε κρυπτογραφημένη μορφή αντίγραφα ασφαλείας για τα ψηφιακά δεδομένα.
- Η πλοήγηση στο διαδίκτυο από τα στελέχη του φορέα είναι ελεγχόμενη.
- Οι αλλαγές στα πληροφοριακά συστήματα καθώς και στις επιχειρησιακές λειτουργίες και διαδικασίες καταγράφονται και αξιολογούνται.
Μέτρα που αφορούν τον έλεγχο των ροών της ηλεκτρονικής αλληλογραφίας που συντελείται στο πλαίσιο λειτουργίας του ΕΦΕΠΑΕ
- Το σύνολο της ηλεκτρονικής αλληλογραφίας αποτελεί μέρος της διαδικασίας τήρησης αντιγράφων ασφαλείας σε επίπεδο τήρησης ιστορικού εργασιών.
- Κάθε σημαντική αλληλογραφία πρωτοκολλείται από τον ΕΦΕΠΑΕ ως διοικητική πράξη.
- Κάθε στέλεχος που είναι εξουσιοδοτημένο να συντάξει αλληλογραφία για λογαριασμό του φορέα είναι επαρκώς ενημερωμένο και εκπαιδευμένο σχετικά με την διάχυση των δεδομένων στους καταλλήλως αρμόδιους παραλήπτες.
- Πραγματοποιούνται έλεγχοι στα email ως προς την εγκυρότητα των παραλήπτων καθώς και ως προς το περιεχόμενο σε επίπεδο δεδομένων.
Μέτρα που αφορούν τη φυσική ασφάλεια και ανακτησιμότητα των έντυπων δεδομένων
- Οι φυσικοί χώροι που χρησιμοποιούνται από τον φορέα συμπεριλαμβανομένων των χώρων εργασίας και των αποθηκευτικών χώρων, συντηρούνται και προστατεύονται με τεχνικά μέσα και παρεμβάσεις σε τακτική βάση, ώστε να ελαχιστοποιούνται οι πιθανές περιπτώσεις αστοχίας και διακινδυνεύσεων και να περιορίζονται σε πολύ χαμηλό επίπεδο το οποίο είναι ανεκτό ως προς την εύρυθμη λειτουργία του φορέα.
- Τα δεδομένα που περιέρχονται σε χρήση από τον ΕΦΕΠΑΕ και βρίσκονται σε έντυπη μορφή, ψηφιοποιούνται και στη συνέχεια φυλάσσονται με τη μορφή αντιγράφων ασφαλείας.
- Οι κτηριακές υποδομές είναι επαρκείς και η είσοδος στους χώρους εργασίας είναι προστατευμένη και ελεγχόμενη με τεχνολογικά μέσα.
Σχετικά με την εναρμόνιση της λειτουργίας του ΕΦΕΠΑΕ με τις νομικές και κανονιστικές παραμέτρους που αφορούν εφαρμογή του ΓΚΠΔ και την ενσωμάτωσή του στο Σύστημα Διαχείρισης Ποιότητας – ΕΦΕΠΑΕ, λαμβάνονται υπόψη τα κάτωθι:
- Εξασφάλιση παροχής συνεχούς και υψηλού επιπέδου εκπαίδευσης στο προσωπικό μέσω ενεργειών πραγματοποίησης εσωτερικών και εξωτερικών - υπηρεσιακών εκπαιδεύσεων, με θεματολογία πάνω στην κουλτούρα της μεταχείρισης των δεδομένων και των συστημάτων, καθώς και σχετικά με τις απαιτήσεις που ανακύπτουν από τη σχετική Νομοθεσία και τις συμβάσεις του φορέα. Επιπροσθέτως, πραγματοποιούνται και εσωτερικές εκπαιδεύσεις με ειδικότερη θεματολογία την εφαρμογή της Πολιτικής Προστασίας Δεδομένων & Συστημάτων.
- Καθορισμός σχετικών ρόλων και αρμοδιοτήτων για τα στελέχη, βασισμένος στα πρότυπα «Υπευθύνου» και «Εκτελούντος» επεξεργασία δεδομένων, όπως περιγράφονται στον ΓΚΠΔ, ώστε να ορίζονται ανάλογα οι αρμοδιότητες και οι τρόποι επεξεργασίας των δεδομένων για το κάθε στέλεχος.
- Τους τρόπους επεξεργασίας και μεταχείρισης των δεδομένων με την υπογραφή σχετικής «Ρήτρας Εχεμύθειας» από κάθε στέλεχος του φορέα.
- Ο φορέας είναι σχετικώς ενημερωμένος και βρίσκεται σε ετοιμότητα ώστε να ακολουθείται το σύνολο των νομικών και κανονιστικών διαδικασιών που αφορούν στην αποκατάσταση δεδομένων για τις πιθανές περιπτώσεις περιστατικών αστοχίας ή και απώλειας δεδομένων.
Διαχείριση Κινδύνων
Στο Σύστημα Διαχείρισης Ποιότητας ΕΦΕΠΑΕ υπάρχει διακριτή διαδικασία και ειδικευμένο επιχειρησιακό όργανο και προβλέπεται η ανάλυση των περιστατικών διακινδυνεύσεων χρησιμοποιώντας τις σχετικές εγκεκριμένες μεθόδους εκτίμησης αντικτύπου, ανάλυσης ελλείψεων και ανάλυσης ρίσκου σύμφωνα με τις σχετικές κανονιστικές απαιτήσεις και τα σύγχρονα επιχειρησιακά πρότυπα. Για κάθε πιθανή περίπτωση κινδύνου και για κάθε περιστατικό αστοχίας προβλέπονται ενέργειες επανόρθωσης σε συστημικό και διοικητικό επίπεδο καθώς και κατά περίπτωση.