Οδηγός Ασφαλείας για υποδομές και πρόσβαση
Οδηγός Ασφάλειας για Υποδομές και Πρόσβαση στο Διαδίκτυο
Γενική πολιτική ασφαλείας χρήσης υποδομών Πανεπιστημίου Πελοποννήσου και πρόσβασης στο διαδίκτυο
Ο οδηγός - γενική πολιτική ασφαλείας αφορά τη χρήση των Πληροφοριακών Συστημάτων και Πληροφορικής Τεχνολογίας του Πανεπιστημίου Πελοποννήσου όπως την πρόσβαση στα υπολογιστικά συστήματα και τον ψηφιακό εξοπλισμό, τους προσωπικούς και φορητούς Η/Υ, τους εξυπηρετητές, εκτυπωτές, σαρωτές, το λογισμικό, τις υπηρεσίες και εφαρμογές δικτύου και διαδικτύου, τις βάσεις δεδομένων και λοιπά πληροφοριακά συστήματα, τις ηλεκτρονικές σελίδες, το τηλεφωνικό δίκτυο και τις συσκευές αυτού, το υπηρεσιακό ηλεκτρονικό ταχυδρομείο και την πρόσβαση στο Διαδίκτυο.
H οδηγός - γενική πολιτική ασφαλείας αφορά το μόνιμο προσωπικό και εξωτερικούς χρήστες και εφαρμόζεται:
σε εξοπλισμό και συστήματα που αποτελούν ιδιοκτησία του Πανεπιστημίου Πελοποννήσου.
σε προσωπικό εξοπλισμό που χρησιμοποιεί τη δικτύωση και τους πόρους των πληροφοριακών συστημάτων του Πανεπιστημίου Πελοποννήσου.
σε υπηρεσίες και συστήματα που παρέχονται και διευθύνονται από τη Μονάδα Ψηφιακής Διακυβέρνησης του του Πανεπιστημίου Πελοποννησου.
σε υπηρεσίες που είναι εγκατεστημένες στον προσωπικό εξοπλισμό υπαλλήλων που συνδέονται προσωρινά ή μόνιμα του Πανεπιστημίου Πελοποννήσου.
σε οποιαδήποτε άλλα συστήματα τα οποία αποκτούν, εξουσιοδοτημένη ή μη, σύνδεση & πρόσβαση στο δίκτυο του Πανεπιστημίου Πελοποννήσου και χρησιμοποιούν διευθύνσεις Διαδικτύου που έχουν παραχωρηθεί στο Πανεπιστημίου Πελοποννήσου.
σε ενέργειες που ξεκινούν από υπολογιστικά συστήματα ή κινητές συσκευές που διατηρούνται ή χρησιμοποιούνται, εκτός του Πανεπιστημίου Πελοποννήσου από υπαλλήλους του Πανεπιστημίου Πελοποννήσου που συνδέονται εξ αποστάσεως με το Δίκτυο του Πανεπιστημίου Πελοποννήσου.
Ειδικότερα, οδηγός - γενική πολιτική ασφαλείας έχει την ίδια ισχύ σε ενέργειες εξωτερικών χρηστών που συνδέονται στα πληροφοριακά συστήματα μέσω ιδιωτικών συσκευών και προσωπικού εξοπλισμού και χρησιμοποιούν την υπηρεσία πρόσβασης στο δίκτυό του Πανεπιστημίου Πελοποννήσου.
Υποχρεώσεις χρηστών
Όποιος εμπίπτει στους υπόχρεους εφαρμογής της του οδηγού - πολιτικής ασφαλούς χρήσης υποδομών Πανεπιστημίου Πελοποννήσου και πρόσβασης στο διαδίκτυο θα πρέπει:
Εμπιστευτικότητα
Να τηρεί εχεμύθεια για θέματα που χαρακτηρίζονται απόρρητα από τις κείμενες διατάξεις1 ή όταν αυτό επιβάλλεται από την κοινή πείρα και λογική, για γεγονότα ή πληροφορίες των οποίων λαμβάνει γνώση ή επεξεργάζεται κατά την εκτέλεση των καθηκόντων του.
Να περιορίζεται μόνο στην πρόσβαση / επεξεργασία των πληροφοριών που είναι απαραίτητες για την εκτέλεση των καθηκόντων του.
Να λαμβάνει μέριμνα για την όσο το δυνατόν ευκρινή ταξινόμηση των ψηφιακών υπηρεσιακών φακέλων και εγγράφων που αποθηκεύει στον προσωπικό του Η/Υ, γνωρίζοντας ότι το υπηρεσιακό αυτό υλικό, ανήκει στο Δημόσιο και οφείλει να το παραδώσει εξ ολοκλήρου σε κάθε περίπτωση αποχώρησής του (μόνιμης ή προσωρινής).
Να γνωρίζει ότι οποιαδήποτε ενέργεια (δηλ. καταχώρηση, μεταβολή, διαγραφή, εμφάνιση ή εκτύπωση στοιχείων) που πραγματοποιείται στα Π.Σ., δύναται να καταγράφεται και μπορεί να αποδοθεί στον υπάλληλο που την πραγματοποίησε.
Ορθή Χρήση
Να χρησιμοποιεί μόνο κατάλληλα αδειοδοτημένο λογισμικό, και εν γένει, να σέβεται τα πνευματικά δικαιώματα και την ιδιοκτησία.
Να μην επιτρέπει τη χρήση του εξοπλισμού που του έχει διατεθεί σε μη εξουσιοδοτημένα πρόσωπα (επισκέπτες κ.ά).
Να μην εγκαθιστά/συνδέει εξοπλισμό (δρομολογητές, μεταγωγείς, ασύρματα σημεία πρόσβασης, Η/Υ, εξυπηρετητές, κ.α.) στα δίκτυα του Πανεπιστημίου Πελοποννήσου και να ενημερώνει για τυχόν τέτοιες ανάγκες τη Μονάδα Ψηφιακής Διακυβέρνησης ώστε η όποια παρέμβαση να γίνεται από εξουσιοδοτημένο και μόνο προσωπικό.
Να μην εγκαθιστά λογισμικό στους Η/Υ της Υπηρεσίας και να ενημερώνει για τυχόν τέτοια ανάγκη τη Μονάδα Ψηφιακής Διακυβέρνησης ώστε η όποια παρέμβαση να γίνεται από εξουσιοδοτημένο και μόνο προσωπικό.
Να μην αποθηκεύει μη υπηρεσιακά αρχεία (π.χ. φωτογραφίες) στο δίκτυο και τους πόρους του Πανεπιστημίου Πελοποννήσου.
Να μην προβαίνει σε α) καθ’ οιονδήποτε τρόπο εκμετάλλευση πιθανών κενών ασφάλειας του ηλεκτρονικού εξοπλισμού (τηλεπικοινωνιακού, διαδικτύου κ.τ.λ) στο οποίο του έχει (ή όχι) επιτραπεί η πρόσβαση, β) προσβολή ή κακή χρήση των συστημάτων, υπηρεσιών και εφαρμογών του Πανεπιστημίου Πελοποννήσου, γ) διατάραξη της ομαλής λειτουργίας των δικτύων και υπηρεσιών του Πανεπιστημίου Πελοποννήσου και δ) εκτέλεση οποιουδήποτε κακόβουλου λογισμικού που δύναται να θέσει σε κίνδυνο ή να υποβαθμίσει το επίπεδο ασφάλειας των Π.Σ. του Πανεπιστημίου Πελοποννήσου.
Σε περίπτωση υποψιών ή διαπίστωσης συμβάντος ανασφάλειας ή τρωτότητας ή διάπραξης αδικήματος που εμπλέκει τα συστήματα Πληροφορικής Τεχνολογίας, θα πρέπει να ειδοποιεί άμεσα τον Προϊστάμενο της Υπηρεσίας στην οποία υπηρετεί παρέχοντας όλες τις σχετικές πληροφορίες και ο τελευταίος έχει την υποχρέωση να ενημερώσει άμεσα Μονάδα Ψηφιακής Διακυβέρνησης.
Να μην επιδιώκει την μη εξουσιοδοτημένη πρόσβαση στον προσωπικό εξοπλισμό, λογαριασμό ή ιδιωτική επικοινωνία των μελών του Πανεπιστημίου Πελοποννήσου. Σε περίπτωση που οποιοσδήποτε ακούσια αποκτήσει τέτοια πρόσβαση οφείλει να την τερματίσει αμέσως και να προβεί σε άμεση ειδοποίηση του επηρεαζόμενου προσώπου για το συμβάν.
Να μην επιδιώκει την μη εξουσιοδοτημένη πρόσβαση στα ηλεκτρονικά αρχεία του προσωπικού του Πανεπιστημίου Πελοποννήσου. Απαγορεύεται ιδίως οποιαδήποτε ενέργεια για την μη εξουσιοδοτημένη ανάκτηση, πρόσβαση, αναζήτηση, αντιγραφή, χρήση, τροποποίηση ή διαγραφή ηλεκτρονικών κειμένων, αρχείων, κωδικών, εικόνων, φίλμ, ηχητικών αρχείων και προγραμμάτων.
Χρήση Διαδικτύου / Ηλεκτρονικού Υπηρεσιακού Ταχυδρομείου
Να μην κάνει χρήση του διαδικτύου και του υπηρεσιακού (e-mail) ηλεκτρονικού ταχυδρομείου με τρόπο που αντιβαίνει τον υπηρεσιακό ρόλο του και προσβάλλει το κύρος του Πανεπιστημίου Πελοποννήσου.
Να μη διακινεί μηνύματα με παράνομο ή άσεμνο περιεχόμενο και με κακόβουλο/ιομορφικό λογισμικό.
Να μην αποστέλλει σε άλλους χρήστες, ανεπιθύμητα ηλεκτρονικά μηνύματα (unsolicited mails ή junk mails) ή άλλου διαφημιστικού ή προωθητικού περιεχομένου (spams).
Να μην αποστέλλει μη υπηρεσιακά δεδομένα/αρχεία μέσω του υπηρεσιακού e-mail, που εμπίπτουν στην ιδιωτική ζωή ή αφορούν άσκηση ιδιωτικού έργου με αμοιβή (ή μη) ανεξάρτητα αν έχει λάβει τη σχετική υπηρεσιακή άδεια, καθόσον αυτό (το έργο) αφορά εργασία που δεν σχετίζεται με τα υπηρεσιακά καθήκοντα.
Να μην αποστέλλει υπηρεσιακά δεδομένα/αρχεία μέσω μη υπηρεσιακού ηλεκτρονικού ταχυδρομείου (ελεύθερου provider).
Να μην διακινεί εμπιστευτικές/απόρρητες πληροφορίες και προσωπικά δεδομένα πολιτών μέσω ηλεκτρονικού ταχυδρομείου ή του διαδικτύου. Εφόσον αυτό είναι υποχρεωτικό για λόγους υπηρεσιακούς, θα πρέπει να προβεί στη λήψη μέτρων που καθιστούν ασφαλή τη μετάδοση της πληροφορίας (π.χ. κρυπτογράφηση) σε συνεννόηση με τον υπηρεσιακό αποδέκτη.
Να είναι ιδιαίτερα προσεκτικός στο άνοιγμα ή τη διαχείριση (προώθηση) μηνυμάτων στα οποία περιέχονται συνημμένα αρχεία και σύνδεσμοι (links) και το περιεχόμενο των οποίων δεν είναι εύλογο ή ο αποστολέας είναι άγνωστος.
Όταν προωθεί μήνυμα ηλεκτρονικού ταχυδρομείου σε πολλούς παραλήπτες να χρησιμοποιεί την κρυφή/ιδιαίτερη κοινοποίηση.
Να χρησιμοποιεί ενημερωμένο πρόγραμμα πλοήγησης και ηλεκτρονικού ταχυδρομείου και να ενημερώνει άμεσα τη Μονάδα Ψηφιακής Διακυβέρνησης σε περίπτωση που τα προγράμματα αυτά δεν είναι ενημερωμένα.
Να μην δίνει τα υπηρεσιακά και προσωπικά του στοιχεία παρά μόνο σε ιστοτόπους που είναι έμπιστοι.
Διαχείριση Κωδικών Πρόσβασης
Ο υπάλληλος που έχει δικαιώματα απλού χρήστη (user) στον υπηρεσιακό, προσωπικό του Η/Υ, θα πρέπει να εισέρχεται με τους κωδικούς που του έχουν παρασχεθεί για αυτό το επίπεδο χρήσης του συστήματός του.
Ο υπάλληλος που δεν έχει δικαιώματα διαχειριστή συστήματος (administrator) δεν πρέπει να εισέρχεται ως διαχειριστής, μεταβάλλοντας τις ρυθμίσεις του Η/Υ, προσθαφαιρώντας λογισμικό, νόμιμο (αγορασμένο με άδεια χρήσης) ή παράνομο (κλεψίτυπο, «σπασμένο» κ.τ.λ). Σε περίπτωση που γνωρίζει τους κωδικούς εισόδου administrator θα πρέπει να γνωρίσει τούτο στον προϊστάμενο της μονάδας που υπηρετεί και εν συνεχεία να ενημερωθεί υπηρεσιακά η Μονάδα Ψηφιακής Διακυβέρνησης.
Να τηρεί μυστικά τα στοιχεία των προσωπικών λογαριασμών του (όνομα χρήστη, κωδικός) για κάθε ψηφιακή υπηρεσία στην οποία έχει εγγραφεί με δικαιώματα πρόσβασης ή ανάρτησης (π.χ. πρόγραμμα «ΔΙΑΥΓΕΙΑ». e-procurement.gov.gr κ.τ.λ.) και να ειδοποιεί άμεσα τον προϊστάμενο της υπηρεσίας που υπηρετεί για τυχόν διαρροή τους. Στη συνέχεια, πρέπει να ανακοινώνεται εγγράφως στη Μονάδα Ψηφιακής Διακυβέρνησης η απώλεια του κωδικού πρόσβασης ώστε αυτός να απενεργοποιείται και να χορηγείται νέος.
Να μην κοινοποιεί σε κανέναν τρίτο με κανένα μέσο, προφορικό, γραπτό, ψηφιακό (τηλεφωνικά, μέσω e-mail κ.τ.λ) τους προσωπικούς κωδικούς πρόσβασής του στα προαναφερόμενα συστήματα. Οι κωδικοί πρόσβασης θα πρέπει να μην έχουν αποθηκευθεί σε σημεία όπου μπορούν να αποκαλυφθούν (π.χ. σε εκτεθειμένα χαρτιά ή ψηφιακά αρχεία εύκολα προσβάσιμα).
Να μην παραχωρεί τους προσωπικούς κωδικούς πρόσβασης σε άλλα πρόσωπα προκειμένου να πραγματοποιήσουν υπηρεσιακό έργο επ’ ονόματί του.
Να λαμβάνει μέριμνα ώστε να αλλάζει περιοδικά τους κωδικούς πρόσβασής του σε κάθε ψηφιακό σύστημα που έχει πρόσβαση, να αποφεύγει την χρήση του ίδιου κωδικού σε όλα τα συστήματα και να μην τους καταγράφει, αλλά να τους απομνημονεύει. Οι κωδικοί ασφαλείας συνιστάται να είναι μήκους τουλάχιστον οκτώ (8) χαρακτήρων και να περιλαμβάνουν αλφαριθμητικά (αριθμούς, πεζά και κεφαλαία γράμματα) και σημεία στίξης.
Ο προϊστάμενος της υπηρεσίας να ενημερώνει άμεσα και εγγράφως τη Μονάδα Ψηφιακής Διακυβέρνησης σχετικά με την αποχώρηση/μετάθεση υπαλλήλου από την Υπηρεσία, έτσι ώστε να γίνεται αφαίρεση των δικαιωμάτων πρόσβασης του υπαλλήλου στις εφαρμογές και τα υπηρεσιακά αρχεία.
Να κλειδώνει με μυστικό προσωπικό κωδικό την επιφάνεια εργασίας του Η/Υ του όταν απουσιάζει από το γραφείο του.
Εφόσον περιέλθει στην κατοχή του πληροφοριακό σύστημαπου περιέχει ανοικτά αρχεία τρίτου προσώπου (π.χ. χρήση Η/Υ υπαλλήλου που συνταξιοδοτήθηκε με όλα τα προσωπικά και υπηρεσιακά περιεχόμενα) οφείλει να ενημερώσει αρμοδίως για το γεγονός.
Διαχείριση Υπολογιστικών Συστημάτων
Τα υπηρεσιακά ψηφιακά αρχεία πρέπει να αποθηκεύονται, κατά προτίμηση και όπου αυτό είναι δυνατό, στους αφιερωμένους για το σκοπό αυτό εξυπηρετητές και όχι στους προσωπικούς Η/Υ, καθώς στην πρώτη περίπτωση υπάρχει μέριμνα για τακτική λήψη αντιγράφων ασφαλείας.
Αντίθετα, στη δεύτερη περίπτωση όπου ο χρήστης επιλέξει να αποθηκεύσει υπηρεσιακά ψηφιακά αρχεία στον προσωπικό του Η/Υ, οφείλει ο ίδιος να λαμβάνει μέριμνα για την ασφάλεια των ψηφιακών υπηρεσιακών φακέλων και εγγράφων του.
Να λαμβάνει μέριμνα για την προστασία των αρχείων από μόλυνση από ιούς γνωρίζοντας ότι σε περίπτωση μόλυνσης υπάρχει κίνδυνος μη αναστρέψιμης απώλειας υπηρεσιακών αρχείων.
Να συνδέεται με τους κοινόχρηστους φακέλους της Υπηρεσίας - στους οποίους έχει πρόσβαση μετά από άδεια της Υπηρεσίας - γνωρίζοντας ότι η όποια ενέργεια (π.χ. διαγραφή αρχείου) επηρεάζει τη λειτουργία όλων των υπαλλήλων που έχουν κοινή πρόσβαση στον κοινόχρηστο φάκελο.
Κατά την αντικατάσταση ή παράδοση Η/Υ από μία Υπηρεσία σε άλλη, απαιτείται η φύλαξη όλων των χρήσιμων υπηρεσιακών δεδομένων από την παραδίδουσα Υπηρεσία και, εν συνεχεία, η διαγραφή όλων των δεδομένων από τον Η/Υ με ευθύνη της Μονάδα Ψηφιακής Διακυβέρνησης.
Με την αποχώρηση/μετάθεση μέλους του προσωπικού του Πανεπιστημίου Πελοποννήσου από την Υπηρεσία, το μέλος υποχρεούται να μη διαγράψει ή αλλοιώσει τα υπηρεσιακά αρχεία και ηλεκτρονικά μηνύματα που είχε λάβει ή αποστείλει υπό την υπηρεσιακή του ιδιότητα ή είχε ο ίδιος δημιουργήσει κατά την εργασία του. Τα ψηφιακά αυτά στοιχεία πρέπει να είναι διαθέσιμα στον άμεσο προϊστάμενό του.
