F.4.2. Πλαίσιο Συμβατότητας των Ηλεκτρονικών Υπηρεσιών του Δημόσιου και Ιδιωτικού Τομέα με Πρότυπα Ασφάλειας
June 6, 2011 σε Ομάδα για την Εμπιστοσύνη & Ασφάλεια από Φώτης Ρούτσης
Τα τελευταία χρόνια σημειώνεται σημαντική αύξηση στην παροχή και χρήση ηλεκτρονικών υπηρεσιών τόσο στο Δημόσιο όσο και στον Ιδιωτικό Τομέα. Η παροχή ηλεκτρονικών υπηρεσιών αποτελεί στόχο της Ελλάδας (βλ. σχέδιο νόμου για την ηλεκτρονική διακυβέρνηση) αλλά και του Ψηφιακού Θεματολογίου της ΕΕ. Δεδομένου ότι οι ηλεκτρονικές συναλλαγές προϋποθέτουν την ανταλλαγή και επεξεργασία προσωπικών δεδομένων, σημαντικοί παράγοντες για την λειτουργία των υπηρεσιών αυτών είναι αφενός η αδειοδότησή τους από αρμόδιες αρχές (Αρχή Προστασίας Προσωπικών Δεδομένων, Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών) και αφετέρου η διασφάλιση των συναλλασσόμενων για την προστασία των δεδομένων τους. Επομένως, είναι πλέον αναγκαία η συμβατότητα των ηλεκτρονικών υπηρεσιών με Διεθνή πρότυπα διαχείρισης ασφάλειας.
Στη συγκεκριμένη δράση προτείνεται η ανάπτυξη ενός πρότυπου ολοκληρωμένου πλαισίου (διοικητικού και διαχειριστικού) διαχείρισης ασφάλειας με σκοπό την προστασία της ιδιωτικότητας των συναλλασσόμενων και της ασφάλειας των δεδομένων τους κατά την χρήση ηλεκτρονικών υπηρεσιών. Το πλαίσιο αυτό θα καθοδηγεί τους παρόχους ηλεκτρονικών υπηρεσιών του δημόσιου και ιδιωτικού τομέα ως προς τις ενέργειες που θα πρέπει να κάνουν προκειμένου να αναπτύξουν, λειτουργήσουν και συντηρήσουν ένα σύστημα διαχείρισης ασφάλειας πληροφοριών και θα περιλαμβάνει τις απαιτήσεις ασφάλειας τόσο σε τεχνικό όσο και σε οργανωτικό και θεσμικό επίπεδο.
Η δράση αυτή μπορεί να χωριστεί σε τέσσερεις κύριες φάσεις. Στην πρώτη φάση περιλαμβάνεται η χαρτογράφηση και κατηγοριοποίηση των ηλεκτρονικών υπηρεσιών του δημοσίου και ιδιωτικού τομέα σε επιμέρους θεματικά πεδία και ως προς την ωριμότητα των διαδικασιών που υιοθετούν για τη διαχείριση ασφάλειας. Στη δεύτερη φάση θα πρέπει να γίνει η αποτύπωση της ροής των ενεργειών που απαιτούνται για τη σχεδίαση του συστήματος διαχείρισης ασφάλειας πληροφοριών. Η τρίτη φάση περιλαμβάνει τις διοικητικές και νομικές ρυθμίσεις που απαιτούνται καθώς και τον καθορισμό των προδιαγραφών λειτουργίας (π.χ. το αναγκαίο προσωπικό, υποδομές κλπ.) για τη λειτουργία του Οργανωτικού σχήματος κάθε οργανισμού που θα είναι αρμόδιο για την παραγωγική λειτουργία του συστήματος διαχείρισης πληροφοριών. Η τέταρτη φάση περιλαμβάνει το μοντέλο για την κοστολόγηση του σχεδιασμού, της υλοποίησης και συντήρησης του συστήματος διαχείρισης ασφάλειας πληροφοριών.