Πολιτική Ασφάλειας Πληροφοριών

Η σημερινή εποχή συχνά αναφέρεται ως η “εποχή της πληροφορίας”. Έχουμε δει μια τεράστια αλλαγή στον τρόπο με τον οποίο οι άνθρωποι παράγουν, αποθηκεύουν και ανταλλάσσουν πληροφορίες. Επίσης, έχουν μεταβληθεί ριζικά οι τρόποι με τους οποίους αλληλεπιδρούμε με τους άλλους, όχι μόνο ως άτομα, αλλά και εντός και μεταξύ των θεσμικών οργάνων, των κοινωνιών και των εθνών. Έχουμε αποκομίσει μεγάλα οφέλη από αυτή τη νέα εποχή, η οποία παράλληλα φέρνει μαζί της βαθύτατες προκλήσεις στους τομείς της ασφάλειας και της ιδιωτικότητας, οι οποίες αντικατοπτρίζονται στην ανάπτυξη της νομοθεσίας σε όλο τον κόσμο όσον αφορά τη διατήρηση των πληροφοριών.

Το Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης, έχει ηθικό, νομικό και επαγγελματικό καθήκον να διασφαλίζει ότι οι πληροφορίες, που αποθηκεύονται στα κεντρικά datacenters του, συμμορφώνονται με τις αρχές της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας. Πρέπει να διασφαλίσουμε ότι οι πληροφορίες που διατηρούμε ή είμαστε υπεύθυνοι γι’ αυτές, προστατεύονται, όπου απαιτείται, από την ακατάλληλη αποκάλυψη, είναι ακριβείς, έγκαιρες, ανάλογες και είναι διαθέσιμες σε όσους θα πρέπει να έχουν πρόσβαση σε αυτές.

Για την εξυπηρέτηση των παραπάνω, το ΑΠΘ αναγνωρίζει τους Κινδύνους που απειλούν την Ασφάλεια των Πληροφοριών που παράγονται και διακινούνται στο πλαίσιο των δραστηριοτήτων του και διαθέτει όλους τους απαιτούμενους πόρους ώστε να προστατεύσει τις πληροφορίες του.

Αυτή η πολιτική ισχύει και θα κοινοποιείται σε όλο το προσωπικό και στα τρίτα μέρη που αλληλεπιδρούν με πληροφορίες που αποθηκεύονται στα κεντρικά datacenters του ΑΠΘ που χρησιμοποιούνται για την αποθήκευση και την επεξεργασία τους. Αυτό περιλαμβάνει, αλλά δεν περιορίζεται σε, οποιαδήποτε συστήματα ή δεδομένα που συνδέονται με τα δεδομένα των κεντρικών datacenters του ΑΠΘ, κινητές συσκευές που χρησιμοποιούνται για τη σύνδεση με τα δίκτυα ή τη διατήρηση δεδομένων των κεντρικών datacenters του ΑΠΘ, δεδομένα για τα οποία το ΑΠΘ κατέχει δικαιώματα πνευματικής ιδιοκτησίας, δεδομένα για τα οποία το ΑΠΘ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, επικοινωνίες που διενεργούνται με τα κεντρικά datacenters του ΑΠΘ.

Η δέσμευση για την Ασφάλεια Πληροφοριών και για την αποφυγή περιστατικών που μπορούν να την πλήξουν υλοποιείται μέσω των ακόλουθων επιμέρους βημάτων:
• Προστασία των πόρων και της διακινούμενης πληροφορίας στις υπηρεσίες των κεντρικών Data Centers του Πανεπιστημίου από κάθε απειλή, εσωτερική ή εξωτερική, σκόπιμη ή τυχαία,
• Συστηματική αποτίμηση και αξιολόγηση των κινδύνων που αφορούν στη διασφάλιση πληροφοριών, προσβλέποντας στην ορθή και έγκαιρη διαχείρισή τους,
• Ασφαλείς διαδικασίες ανάπτυξης και συντήρησης εφαρμογών, συστημάτων και υπηρεσιών, που αφορούν τα κεντρικά Data Centers του ΑΠΘ
• Αρχειοθέτηση δεδομένων, αποφυγή ιών και εξωτερικών εισβολών, έλεγχο πρόσβασης στα συστήματα, καταγραφή όλων των περιστατικών ασφαλείας και διαχείριση απρόσμενων εξελίξεων,
• Διαρκή ενημέρωση των διαχειριστών των κεντρικών Data Centers σε θέματα ασφάλειας πληροφοριών,
• Έλεγχο των διακινούμενων και ανταλλασσόμενων πληροφοριών και δεδομένων,
• Προστασία των συμφερόντων του Πανεπιστημίου και όσων συναλλάσσονται με αυτό και το εμπιστεύονται,
• Άμεσο και αποτελεσματικό χειρισμό περιστατικών και παραβάσεων ασφαλείας,
• Ενθάρρυνση της εσωτερικής επικοινωνίας σχετικά με τα θέματα Ασφάλειας Πληροφοριών.
• Δέσμευση στην πιστή εφαρμογή των Πολιτικών Ασφάλειας και όλης της κείμενης εθνικής και κοινοτικής νομοθεσίας.

Το ΑΠΘ δεσμεύεται για τη συνεχή προσπάθεια βελτίωσης της προστασίας των πληροφοριών της στα κεντρικά Data Centers του έτσι ώστε να μπορεί να προσφέρει υψηλά επίπεδα ασφάλειας σε όσους συναλλάσσονται με το Πανεπιστήμιο.

Η Πολιτική Ασφάλειας Πληροφοριών και όλες οι επιμέρους Πολιτικές για τα κεντρικά Data Centers του ΑΠΘ, είναι άρρηκτα συνδεδεμένες με τους στόχους και το όραμα του Πανεπιστημίου, είναι κατάλληλες για αυτό και διασφαλίζουν τη θέση του στην αγορά στην οποία δραστηριοποιείται.

Οι πολιτικές ασφάλειας πληροφοριών αναθεωρούνται τουλάχιστον μία φορά το χρόνο και όποτε λάβουν χώρα σοβαρές αλλαγές, ώστε να εξασφαλιστεί η καταλληλότητα, η επάρκεια και η αποτελεσματικότητά τους.

Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.)

Σε συμμόρφωση με τον ν.4961/2022, το ΑΠΘ ως φορέας της κεντρικής κυβέρνησης όρισε Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.). Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι, ιδίως:

α) η διαρκής μέριμνα για την ασφάλεια των συστημάτων δικτύου και πληροφοριών του φορέα,

β) η συνεργασία με τους αρμόδιους φορείς στον τομέα της κυβερνοασφάλειας και η μέριμνα για την εφαρμογή των κατευθυντήριων οδηγιών, απαιτήσεων και μέτρων ασφαλείας που εκδίδουν,

γ) η τήρηση μητρώου του φορέα με τις υποδομές πληροφορικής και επικοινωνιών, το λογισμικό και τα πληροφοριακά αγαθά,

δ) η συμμετοχή στη διενέργεια ελέγχων σε συστήματα πληροφορικής και επικοινωνιών του φορέα για τη διακρίβωση του υφιστάμενου επιπέδου ασφάλειας,

ε) η εποπτεία της τήρησης της πολιτικής ασφάλειας συστημάτων πληροφορικής και επικοινωνιών του φορέα,

στ) η παρακολούθηση και αξιοποίηση νέων τεχνολογιών και εργαλείων ασφάλειας συστημάτων πληροφορικής και επικοινωνιών για την ενίσχυση του επιπέδου κυβερνοασφάλειας του φορέα και

ζ) η διενέργεια αξιολογήσεων του επιπέδου κυβερνοασφάλειας του φορέα σε συνεργασία με τις κατά περίπτωση αρμόδιες αρχές.

Δέσμευση

Οι ακόλουθες αρχές ασφάλειας πληροφοριών διέπουν τη διαχείριση των πληροφοριών στα κεντρικά Data Centers του ΑΠΘ:

• Οι πληροφορίες πρέπει να διαβαθμίζονται σύμφωνα με το κατάλληλο επίπεδο εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας και σύμφωνα με τις σχετικές νομοθετικές, ρυθμιστικές και συμβατικές απαιτήσεις και τις πολιτικές ασφάλειας πληροφοριών των κεντρικών συστημάτων του Πανεπιστημίου.
• Το προσωπικό πρέπει να εξασφαλίζει τη διαβάθμιση των πληροφοριών, πρέπει να χειρίζεται τις πληροφορίες αυτές σύμφωνα με το επίπεδο διαβάθμισης και πρέπει να συμμορφώνονται με τυχόν συμβατικές απαιτήσεις, πολιτικές, διαδικασίες ή συστήματα για την εκπλήρωση αυτών των ευθυνών.
• Όλοι οι διαχειριστές που καλύπτονται από το πεδίο εφαρμογής αυτής της πολιτικής πρέπει να χειρίζονται τις πληροφορίες κατάλληλα και σύμφωνα με το επίπεδο διαβάθμισης.
• Οι πληροφορίες πρέπει να είναι ασφαλείς και διαθέσιμες σε όσους έχουν νόμιμη ανάγκη πρόσβασης σύμφωνα με το επίπεδο διαβάθμισης. Ως εκ τούτου, η πρόσβαση στην πληροφορία θα βασίζεται στις αρχές “least privilege” και “need to know”.
• Οι πληροφορίες θα προστατεύονται από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία σύμφωνα με το επίπεδο διαβάθμισης.
• Οι παραβιάσεις αυτής της πολιτικής πρέπει να αναφέρονται στον Υπεύθυνο Ασφάλειας Πληροφοριών.
• Η πρόβλεψη ασφάλειας πληροφοριών και οι πολιτικές που την καθοδηγούν θα επανεξετάζονται τακτικά, μεταξύ άλλων μέσω της χρήσης ετήσιων εσωτερικών ελέγχων και δοκιμών παρείσδυσης.

Η παρούσα πολιτική ασφάλειας πληροφοριών παρέχει το πλαίσιο με το οποίο λαμβάνουμε υπόψη αυτές τις αρχές. Πρωταρχικός σκοπός του είναι να επιτρέψει στο προσωπικό που διαχειρίζεται τα κεντρικά Data Centers του ΑΠΘ να κατανοεί τόσο τις νομικές όσο και δεοντολογικές ευθύνες που αφορούν την πληροφορία και να το ενδυναμώνει να συλλέγει, να χρησιμοποιεί, να αποθηκεύει και να διανέμει τις πληροφορίες με τους κατάλληλους τρόπους.

Αυτή η πολιτική αποτελεί τον ακρογωνιαίο λίθο για τη συνεχιζόμενη δέσμευση του ΑΠΘ για την υλοποίηση και τη διατήρηση των υψηλότερων προτύπων ασφάλειας στα κεντρικά Data Centers του ΑΠΘ και για την ενίσχυση και αποσαφήνιση των διαδικασιών ασφάλειας των πληροφοριών μας. Έχει την πλήρη υποστήριξή μου και περιμένω από όλο το προσωπικό που εμπλέκεται με τα κεντρικά Data Centers του Αριστοτέλειου Πανεπιστημίου Θεσσαλονίκης να μοιραστεί αυτή τη δέσμευση, να διαβάσει την Πολιτική Ασφάλειας Πληροφοριών και να συμμορφωθεί με αυτήν κατά τη διάρκεια της τέλεσης των καθηκόντων τους.

Βασιλειάδης Νικόλαος
Πρόεδρος Επιτροπής Ψηφιακής Διακυβέρνησης ΑΠΘ

Μετάβαση στο περιεχόμενο