Nέος κανονισμός της ΑΔΑΕ για τη Διασφάλιση του Απορρήτου των Επικοινωνιών

Ο νέος κανονισμός της ΑΔΑΕ για τη Διασφάλιση του Απορρήτου των Επικοινωνιών (ΦΕΚ Β΄ 2715/17-11-2011) δημοσιεύτηκε στην Εφημερίδα της Κυβερνήσεως.
Με την απόφαση 165/2011 η Ολομέλεια της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών αντικατέστησε τους κανονισμούς που ορίζονται στα ΦΕΚ Β’ 87/2005 και ΦΕΚ Β’ 88/2005. Ο νέος κανονισμός, ενοποιεί τους προηγούμενους, διαμορφώνοντας ένα ενιαίο πλαίσιο υποχρεώσεων των παρόχων δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, το οποίο ανταποκρίνεται, στις τεχνολογικές εξελίξεις των τελευταίων ετών. Η ισχύς του νέου κανονισμού αρχίζει έξι μήνες μετά τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

Οι πάροχοι δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών θα πρέπει μέχρι τις 17 Μαΐου 2012 να υποβάλουν στην ΑΔΑΕ προς έγκριση πολιτική ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών, σύμφωνα με το νέο κανονισμό. Παράλληλα, εντός προθεσμίας δύο μηνών, μέχρι τις 17 Ιανουαρίου 2012, οι πάροχοι θα πρέπει να δηλώσουν προς την Αρχή τις δραστηριότητες για τις οποίες έχουν υποβάλει δήλωση καταχώρησης στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.) για τη λειτουργία υπό καθεστώς Γενικής Άδειας.

Ο κανονισμός της ΑΔΑΕ για τη Διασφάλιση του Απορρήτου των Επικοινωνιών είναι συνυφασμένος σε μεγάλο ποσοστό με τις απαιτήσεις του προτύπου ISO/IEC 27001:2005 και τα σχετικά σημεία ελέγχου του προτύπου. Το ISO/IEC 27001:2005 είναι διεθνές πρότυπο πιστοποίησης συστημάτων διαχείρισης ασφάλειας πληροφοριών. Η εφαρμογή του διασφαλίζει την προστασία της πληροφορίας, τόσο της εταιρείας που το εφαρμόζει, όσο και των πελατών της, από οποιαδήποτε αναγνωρισμένο κίνδυνο. Η συγκεκριμένη διασφάλιση επιτυγχάνεται με την εφαρμογή ειδικών πολιτικών για τον εντοπισμό, τη διαβάθμιση, την ανάλυση επικινδυνότητας και την θέσπιση σημείων ελέγχου των πληροφοριών είτε αφορούν σε ηλεκτρονικά δεδομένα είτε πρόκειται για έγγραφα.

Τα επιμέρους άρθρα του κανονισμού της ΑΔΑΕ αντιστοιχίζονται, πλήρως ή μερικώς, με τα κάτωθι σημεία ελέγχου του προτύπου ISO/IEC 27001:2005

Άρθρα νέου Κανονισμού ΑΔΑΕ Σημεία ελέγχου ISO/IEC 27001:2005
Άρθρο 3 – Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών Α.5 Πολιτική Ασφάλειας
Άρθρο 4 – Πολιτική Αποδεκτής Χρήσης Α.6 Οργάνωση Ασφάλειας Πληροφορίας
Α.7 Διαχείριση Πόρων
Α.8 Ασφάλεια Ανθρώπινων Πόρων
Άρθρο 5 – Πολιτική Φυσικής Ασφάλειας Α.9 Φυσική Ασφάλεια Χώρων
Άρθρο 6 – Πολιτική Λογικής Πρόσβασης Α.11 Έλεγχος Πρόσβασης
Άρθρο 7 – Πολιτική Απομακρυσμένης Λογικής Πρόσβασης Α.11.7 Τήλε-εργασία – Απομακρυσμένη Πρόσβαση
Άρθρο 8 – Πολιτική Διαχείρισης και Εγκατάστασης ΠΕΣ Α.12 Προμήθεια, Ανάπτυξη και Συντήρηση Πληροφοριακών Συστημάτων
Άρθρο 9 – Πολιτική Διαχείρισης Περιστατικών Ασφάλειας Α.13 Διαχείριση Περιστατικών Ασφάλειας
Άρθρο 10 – Πολιτική Ασφάλειας Δικτύου Α.10.6 Διαχείριση Ασφάλειας Δικτύου
Α.11.4 Έλεγχος Πρόσβασης στο Δίκτυο
Άρθρο 11 – Πολιτική Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών Α.10.3 Σχεδιασμός και Αποδοχή Συστήματος
Α.15 Συμμόρφωση
Άρθρο 12 – Πολιτική Αντιμετώπισης Κακόβουλου Λογισμικού Α.10.4 Προστασία από Κακόβουλο Λογισμικό και Μεταφερόμενο Κώδικα
Άρθρο 13 – Πολιτική Χρήσης Κρυπτογραφίας Α.12.3 Κρυπτογραφικά Εργαλεία

Τέλος το πρότυπο ISO/IEC 27001:2005 προβλέπει την κατάρτιση σχεδίων επιχειρησιακής συνέχειας, απαίτηση την οποία παραλείπει ο Κανονισμός της ΑΔΑΕ.

Η PRIORITY, με μεγάλη εμπειρία στην ανάπτυξη Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών, έχει καθοδηγήσει τις εταιρείες Citiwave Systems και Voiceland προς τη συμμόρφωση με το νέο Κανονισμό της ΑΔΑΕ.

Κατηγορία ΠΛΗΡΟΦΟΡΙΚΗ