Ο Υπεύθυνος Ασφαλείας Δεδομένων (ΥΠΔ / CISO) είναι γενικά υπεύθυνος για την ανάπτυξη και τη διαμόρφωση των πολιτικών και διαδικασιών ασφαλείας δεδομένων του Οργανισμού και την επανεξέταση της αποτελεσματικότητας όσων έχουν ήδη υλοποιηθεί. Ο Υπεύθυνος Ασφαλείας Δεδομένων είναι επίσης υπεύθυνος για τη διασφάλιση της διενέργειας εκπαιδευτικών προγραμμάτων, για τη βελτίωση της γενικής συνείδησης της ασφάλειας.
Πολιτικές
Διαδικασίες
Μέτρα
Πολιτικές
Ο ΥΠΔ πρωτοστατεί στην ανάπτυξη, υιοθέτηση και εφαρμογή πολιτικών, διαδικασιών και προτύπων ασφάλειας πληροφοριών του Οργανισμού.
Πρόκειται για τυπικές πολιτικές που καθορίζουν λεπτομερώς και τεκμηριώνουν τους πραγματικούς μηχανισμούς και τους ελέγχους και πρέπει να περιλαμβάνουν τουλάχιστον τα ακόλουθα: • Διοίκηση: ανάλυση και διαχείριση κινδύνων, διαχείριση και έλεγχο τεκμηρίωσης, έλεγχοι πρόσβασης στις πληροφορίες και κυρώσεις για μη συμμόρφωση. • Ασφάλεια Προσωπικού: Το προσωπικό πρέπει να έχει πρόσβαση μόνο στις ευαίσθητες πληροφορίες για τις οποίες έχει την κατάλληλη εξουσιοδότηση. • Φυσικές προφυλάξεις: Αναθέτει τις ευθύνες ασφαλείας, ελέγχει την πρόσβαση στα μέσα και τους ελέγχους που υπάρχουν ενάντια στη μη εξουσιοδοτημένη πρόσβαση στους σταθμούς εργασίας και τον σχετικό εξοπλισμό. • Τεχνική ασφάλεια: Ορίζει τα στοιχεία ελέγχου πρόσβασης και εξουσιοδότησης για καθημερινές λειτουργίες καθώς και διαδικασίες έκτακτης ανάγκης για τα δεδομένα. • Ασφάλεια μετάδοσης δεδομένων: Ορίζει τα πρότυπα για ελέγχους πρόσβασης, διαδρομές ελέγχου, αναφορά συμβάντων, στοιχεία κρυπτογράφησης και ελέγχους ακεραιότητας δεδομένων.Διαδικασίες
Διαμορφώνει τις διαδικασίες ασφαλείας του Οργανισμού, που περιλαμβάνουν:
• Αξιολόγηση και συμμόρφωση με τα μέτρα ασφαλείας. • Ανάκτηση μετά από καταστροφή και έκτακτη ανάγκη. • Πρωτόκολλα αντιμετώπισης περιστατικών ασφαλείας και πρωτοκόλλα διεργασίας, συμπεριλαμβανομένης της αναφοράς περιστατικών και των κυρώσεων. • Έλεγχο διαδικασιών ασφαλείας, μηχανισμών και μέτρων.
Μέτρα
1. Προτείνει κατάλληλα μέτρα ασφαλείας και μηχανισμούς για την προστασία από μη εξουσιοδοτημένη πρόσβαση σε ηλεκτρονικά αποθηκευμένα ή/και μεταδιδόμενα δεδομένα και προστατεύει από τις συνήθεις αναμενόμενες απειλές και κινδύνους.
2. Παρακολουθεί την υλοποίηση της συνεχούς επίβλεψης της ασφάλειας των συστημάτων πληροφοριών οργανισμού, συμπεριλαμβανομένων: • Περιοδικών αξιολογήσεων του κινδύνου ασφάλειας πληροφοριών. • Αναλύσεων των λειτουργιών για τον προσδιορισμό του βαθμού συμμόρφωσης των βασικών επιχειρηματικών τομέων και υποδομών με τις κανονιστικές απαιτήσεις. • Αξιολόγησης και σύστασης νέων τεχνολογιών ασφάλειας πληροφοριών και αντιμέτρων, για την αντιμετώπιση των απειλών κατά της πληροφορίας ή/και της ιδιωτικότητας. 3. Εξασφαλίζει τη συμμόρφωση μέσω επαρκών προγραμμάτων κατάρτισης και περιοδικών ελέγχων ασφαλείας. Αυτοί οι έλεγχοι πρέπει να είναι τόσο εσωτερικοί όσο και εξωτερικοί.