24
•
ΑΓΡΟΤΗΣ
Θέματα ΚΟΑΠ
Εφαρμογή του ISO/IEC 27002 για τη διοίκηση
της ασφάλειας των πληροφοριών στον Κυπριακό
Οργανισμό Αγροτικών Πληρωμών
Μαρία Χαραλάμπους
Λειτουργός Αγροτικών Πληρωμών
Κυπριακός Οργανισμός Αγροτικών Πληρωμών
Με βάση τον νέο Ευρωπαϊκό Κανονισμό (ΕΚ)
907/2014 (ο οποίος αντικατέστησε τον παλαιότερο ΕΚ
885/2006), στον οποίο καταγράφονται τα κριτήρια για
τη διαπίστευση των οργανισμών αγροτικών πληρω-
μών, απαιτείται από τους οργανισμούς αυτούς η συμ-
μόρφωση με ένα διεθνώς αναγνωρισμένο πρότυπο
όσον αφορά την ασφάλεια πληροφοριών. Το σχετικό
πρότυπο ISO 27002, το οποίο επέλεξε ο ΚΟΑΠ, είναι
το πιο διαδεδομένο μεταξύ των οργανισμών αγροτι-
κών πληρωμών των κρατών μελών.
Τον Σεπτέμβριο του 2007, ο ΚΟΑΠ συμμορφώθηκε
με το πρότυπο ISO/IEC 27002. O Οργανισμός δημι-
ούργησε ένα ολοκληρωμένο σύστημα διοίκησης της
ασφάλειας πληροφοριών και φροντίζει για την εφαρ-
μογή των σχετικών πολιτικών και διαδικασιών, καθώς
και για τη συνεχή ενημέρωση και λειτουργία του. Από
το 2011, η λειτουργία του Συστήματος Διαχείρισης
Ασφάλειας Πληροφοριών του Οργανισμού (ΣΔΑΠ) και
η παραγωγή των κατάλληλων αποδεικτικών στοιχείων
γίνεται εξολοκλήρου από τον ΚΟΑΠ. Η Καθοδηγητι-
κή Επιτροπή Ασφάλειας Πληροφοριών του ΚΟΑΠ, η
οποία αποτελείται από τον Επίτροπο, τον Βοηθό Επί-
τροπο και ανώτερα στελέχη του Οργανισμού, δραστη-
ριοποιείται τακτικά και διαδραματίζει σημαντικό ρόλο
στην εφαρμογή του ΣΔΑΠ και στην κοινοποίηση των
προνοιών του σε ολόκληρο τον Οργανισμό. Η Επιτρο-
πή αυτή ενημερώνεται για τα θέματα ασφάλειας πλη-
ροφοριών του ΚΟΑΠ, και στις συναντήσεις της λαμβά-
νονται αποφάσεις για την καθοδήγηση των εργασιών
του ΣΔΑΠ σύμφωνα με τις προτεραιότητες και τους
στόχους του Οργανισμού.
Τον Σεπτέμβριο του 2013 δημοσιεύθηκε νέα έκδοση
του υπό αναφορά προτύπου για την ασφάλεια των
πληροφοριών, το ISO/IEC 27002:2013, προς αντικα-
τάστασή του. Η νέα αυτή έκδοση κρίνεται ως μία ανα-
βάθμιση του προτύπου καθώς το καθιστά πιο ευέλικτο.
Μεγάλο μέρος του ΣΔΑΠ αφορά την εφαρμογή των
διαδικασιών του συστήματος και την παραγωγή των
σχετικών τεκμηρίων. Η λειτουργία του συστήματος
ασφάλειας πληροφοριών ελέγχεται σύμφωνα με
καθορισμένο πρόγραμμα ελέγχων συμμόρφωσης,
και ακολούθως ελέγχεται η εφαρμογή των ενεργει-
ών που προκύπτουν από αυτούς. Σημαντική είναι
και η αξιολόγηση των κινδύνων που αντιμετωπίζει
ο ΚΟΑΠ σε σχέση με την ασφάλεια των πληροφορι-
ών, ώστε να λαμβάνονται τα ανάλογα μέτρα για τη
μείωσή τους. Άλλες σημαντικές εργασίες του ΣΔΑΠ
περιλαμβάνουν τη διερεύνηση περιστατικών ασφά-
λειας, την κατάρτιση ετήσιων αναφορών και την εκ-
παίδευση. Στo πλαίσιο του ΣΔΑΠ, δίνεται ιδιαίτερη
έμφαση στη διασφάλιση της αδιάλειπτης λειτουργί-
ας του Οργανισμού, με την οποία επιτυγχάνεται η
συνέχιση των εργασιών του ΚΟΑΠ για επεξεργασία
των αιτήσεων και πληρωμή των επιδοτήσεων κατά
τη διάρκεια σοβαρών περιστατικών ασφάλειας, τα
οποία επηρεάζουν είτε τη στέγαση είτε τη λειτουργία
των πληροφοριακών συστημάτων του Οργανισμού,
ή και τα δύο.
Συνεπώς, τα οφέλη που αποκομίζει ο ΚΟΑΠ από την
ανάπτυξη του συστήματος διαχείρισης της ασφάλειας
πληροφοριών του είναι πολλαπλά και πολύ σημαντι-
κά. Πέραν της επίτευξης του σκοπού του προτύπου,
που είναι η προστασία της ασφάλειας των πληροφορι-
ών, με τις διαδικασίες που εφαρμόζονται, αυξάνεται η
εμπιστοσύνη των αγροτών προς τον ΚΟΑΠ ως προς
την αποτελεσματικότητα του χειρισμού και την προ-
στασία των προσωπικών τους δεδομένων. Επιτυγχά-
νεται, ακόμη, η προστασία της δημόσιας εικόνας του
ΚΟΑΠ ως ενός αξιόπιστου και συνεπούς Οργανισμού.
Μακροπρόθεσμα, επιτυγχάνεται, επίσης, περιορισμός
των δαπανών για αποκατάσταση ζημιών που θα μπο-
ρούσαν να προκύψουν από τυχόν περιστατικά ασφά-
λειας πληροφοριών.
Σ
το πλαίσιο της συμμόρφωσης με το πρότυπο ISO 27002 για την ασφάλεια των πληροφοριών, ο
Κυπριακός Οργανισμός Αγροτικών Πληρωμών (ΚΟΑΠ) εφαρμόζει σύστημα διαχείρισης ασφάλειας
πληροφοριών. Το σύστημα αυτό είναι ένα σύνολο από πολιτικές και διαδικασίες που υποστηρίζουν και
ενδυναμώνουν τις υφιστάμενες διαδικασίες του Οργανισμού για την επεξεργασία και τελική πληρωμή
των αιτήσεων για επιδότηση, σε σχέση με την ασφάλεια των πληροφοριών. Το πρότυπο αυτό θεωρεί
όλες τις πληροφορίες του ΚΟΑΠ, και κατ’ επέκταση των αγροτών, σε οποιαδήποτε μορφή και εάν βρί-
σκονται, σημαντικό περιουσιακό στοιχείο, και η εφαρμογή του στοχεύει στη διασφάλιση της εμπιστευ-
τικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών αυτών.
