Η Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ) προσβλέπει στην προστασία των κρίσιμων υποδομών πληροφοριών της Κυπριακής Δημοκρατίας και στη σωστή λειτουργία των τεχνολογιών επικοινωνιών και πληροφορικής του τόπου με τα απαιτούμενα επίπεδα ασφάλειας, προς όφελος του κάθε χρήστη, των πολιτών, της οικονομίας και της χώρας ευρύτερα. Στα πλαίσια των αρμοδιοτήτων της αλλά πρωτίστως και με γνώμονα την ενίσχυση της κυβερνοασφάλειας στην Κυπριακή Δημοκρατία έχει αναπτύξει μία εργαλειοθήκη με πρότυπα πολιτικών/διαδικασιών ως γενικός οδηγός για υλοποίηση της Απόφασης ΚΔΠ 389/2020 περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών.
Τα πρότυπα/μεθοδολογίες της εργαλειοθήκης (toolkit) παρέχονται ως γενικός οδηγός και αποσκοπούν στην παροχή καθοδήγησης προς τους Φορείς αναφορικά με τις υποχρεώσεις τους ως αυτές απορρέουν από τις πρόνοιες της περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Μέτρα Ασφάλειας Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών και Φορέων Κρίσιμων Υποδομών Πληροφοριών) Απόφασης του 2020 (Κ.Δ.Π. 389/2020) ως εκάστοτε τροποποιείται και/ή αντικαθίσταται (εφεξής η «Απόφαση Κ.Δ.Π. 389/2020»). Οι πληροφορίες που παρέχονται είναι καθοδηγητικής φύσεως και δεν εξατομικεύονται σε συγκεκριμένη κατάσταση οποιουδήποτε φυσικού ή νομικού προσώπου.
Η χρήση και/ή συμπλήρωση των εν λόγω προτύπων/πολιτικών δεν συνεπάγεται σε πλήρη συμμόρφωση με τις απαιτήσεις της Απόφασης Κ.Δ.Π. 389/2020 και θα πρέπει να μεταβάλλονται βάσει των αναγκών του εκάστοτε Φορέα και/ή να επικαιροποιούνται κατά διαστήματα. Επιπρόσθετες διαδικασίες και μεθοδολογίες θα πρέπει να αναπτυχθούν που θα συνοδεύουν τις πολιτικές του κάθε Φορέα.
Η εργαλειοθήκη έχει σχεδιαστεί με τέτοιο τρόπο, ώστε ο κάθε χρήστης μέσω των οδηγιών να μπορεί με απλά και περιεκτικά βήματα να την συμπληρώσει και να την προσαρμόσει για τις ανάγκες τους. Για κάθε μέτρο του παραρτήματος ΙΙΙ της Απόφασης ΚΔΠ 389/2020 παρέχεται σχετική αντιστοίχιση με την κατάλληλη πολιτική σε ξεχωριστό έγγραφο της εργαλειοθήκης. Καθώς τα έγγραφα είναι συμβουλευτικής φύσεως, ο χρήστης δύναται να κατεβάσει οποιοδήποτε αρχείο παρέχεται στην ιστοσελίδα ή και όλα τα αρχεία συγκεντρωμένα ανάλογα με τις δικές του ανάγκες.
- Οδηγός Συμπλήρωσης Εγγράφων
- Διαδικασία Ελέγχου Εγγράφων
- Διαδικασία Ελέγχου Αποτελεσματικότητας Μέτρων
- Δήλωση Εφαρμογής Πλαισίου Κ.Δ.Π. 389/2020
- Δήλωση Αποποίησης Ευθύνης
Στον παρακάτω πίνακα παρουσιάζεται επίσης η σχετική αντιστοίχιση μεταξύ εγγράφων και μέτρων ασφάλειας που αναφέρονται στην Απόφαση Κ.Δ.Π 389/2020.
Πίνακας Αντιστοιχίας | ||
Κατηγορία Μέτρου | # | Υποστηρικτικό Έγγραφο |
Στρατηγική | STR1 | Στρατηγική Ασφάλειας Πληροφοριών |
Διακυβέρνηση | GOV1 - GOV2 | Πολιτική Διακυβέρνησης Ασφάλειας Πληροφοριών |
Διακυβέρνηση | GOV3 | Πολιτική Ασφάλειας Πληροφοριών |
Διαχείριση Κινδύνων | RM1 - RM4 | Μεθοδολογία Διαχείρισης Κινδύνου |
Διαχείριση Κινδύνων | RM5 - RM6 | Asset Based Risk Assessment Workbook |
Ευαισθητοποίηση και εκπαίδευση | TA1 - TA2 | Πλάνο Εκπαιδεύσεων Ευαισθητοποίησης |
Διαχείριση τρίτων μερών και προμηθευτών | TPS1 - TPS2 | Πολιτική Διαχείρισης Προμηθευτών |
Ασφάλεια δεδομένων | DS1 - DS5 | Πολιτική Διαχείρισης Στοιχείων Ενεργητικού |
Διαχείριση στοιχείων ενεργητικού | AM1 - AM6 | |
Διαχείριση αλλαγών | CM1 - CM2 | Πολιτική Διαχείρισης Αλλαγών και Διαμόρφωσης |
Διαχείριση ταυτότητας και πρόσβασης | IAM1 - IAM7 | Πολιτική Ελέγχου Πρόσβασης |
Διαχείριση ευπαθειών και ενημερώσεων ασφάλειας | VM1 - VM3 | Πολιτική Διαχείρισης Ευπαθειών |
Ασφάλεια δικτύου | NS1 - NS7 | Πολιτική Ασφάλειας Δικτύου |
Ασφάλεια συστημάτων | SS1 - SS4 | Πολιτική Ασφάλειας Συστημάτων |
Ασφάλεια εφαρμογών | AS1 | |
Ασφάλεια ανθρώπινων πόρων | HRS1 - HRS5 | Πολιτική Ανθρώπινου Δυναμικού |
Ασφάλεια ανθρώπινων πόρων | HRS6 | Πολιτική Αποδεκτής Χρήσης |
Φυσική ασφάλεια | PS1 - PS5 | Πολιτική Φυσικής Ασφάλειας |
Διαχείριση συμβάντων και περιστατικών | ΕΙΜ1 - EIM6 | Πολιτική Διαχείρισης Συμβάντων και Περιστατικών |
Επιχειρησιακή συνέχεια και ανθεκτικότητα | BCR1 - BCR4 | Σχέδιο Επιχειρησιακής Συνέχειας |
Επιχειρησιακή συνέχεια και ανθεκτικότητα | BCR1 - BCR4 | Αξιολόγηση Επιχειρησιακών Επιπτώσεων |
Επιχειρησιακή συνέχεια και ανθεκτικότητα | BCR1 - BCR4 | Πολιτική Επιχειρησιακής Συνέχειας |
Επιχειρησιακή συνέχεια και ανθεκτικότητα | BCR1 - BCR4 | Σχέδιο αποκατάστασης από καταστροφή |