FacebookTwitterGoogle BookmarksLinkedIn

Ασφάλεια πληροφοριών στο Υπ Εργασίας

Ερώτηση με αρ. 23.06.011.05.066, ημερομηνίας 22 Σεπτεμβρίου 2020, του βουλευτή εκλογικής περιφέρειας Λευκωσίας κ. Χαράλαμπου Θεοπέμπτου

«Ένας μεγάλος αριθμός λειτουργιών του Υπουργείου Εργασίας, Πρόνοιας και Κοινωνικών Ασφαλίσεων υποστηρίζεται από μηχανογραφικά συστήματα διάφορων τεχνολογιών.

Παρακαλώ τον αρμόδιο υπουργό όπως πληροφορήσει τη Βουλή των Αντιπροσώπων για τα ακόλουθα:

Στο υπουργείο εφαρμόζονται διαδικασίες διαχείρισης ασφάλειας πληροφοριών βάσει διεθνώς αναγνωρισμένων προτύπων, όπως π.χ. τα ISO ή ισοδύναμα;

Πόσα και ποια συστήματα υφίστανται;

Ποια από αυτά είναι διαδικτυακής τεχνολογίας;

Για ποια από τα πιο πάνω συστήματα υλοποιούνται/εφαρμόζονται μέτρα ελέγχου ασφάλειας πληροφοριών, κυβερνοασφάλειας, διαχείρισης κινδύνου κ.λπ. βάσει διεθνώς αναγνωρισμένων προτύπων, όπως π.χ. τα ISO ή ισοδύναμα;

Πώς διασφαλίζεται η αδιάλειπτη λειτουργία όλων των συστημάτων που υφίστανται στο υπουργείο σας;»

Απάντηση:

ΚΥΠΡΙΑΚΗ ΔΗΜΟΚΡΑΤΙΑ - ΥΠΟΥΡΓΕΙΟ ΕΡΓΑΣΙΑΣ, ΠΡΟΝΟΙΑΣ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΑΣΦΑΛΙΣΕΩΝ
Γραφείο Γενικού Διευθυντή
Αρ. Φακ. 05.24.002
Αρ. Τηλ. 22401630
16 Νοεμβρίου 2020

Γενικό Διευθυντή
Βουλής των Αντιπροσώπων,

ΘΕΜΑ: Ασφάλεια Μηχανονpαφημένων Συστημάτων ΥΕΠΚΑ

Αναφέρομαι στο πιο πάνω θέμα και στην επιστολή σας με αρ. φακ. 23.06.011.05.066 και ημερ. 23.9.2020, σχετικά με τα ερωτήματα που τέθηκαν από τον βουλευτή κ. Χαράλαμπο Θεοπέμπτου, σας επισυνάπτω τις απόψεις του Τμήματος Υπηρεσιών Πληροφορικής, το οποίο έχει την αρμοδιότητα για την ομαλή και ασφαλή λειτουργία όλων των Μηχανογραφημένων Συστημάτων του Υπουργείου Εργασίας, Πρόνοιας και Κοινωνικών Ασφαλίσεων (ΥΕΠΚΑ).
2. Επιπρόσθετα, το ΥΕΠΚΑ διερευνά τη δυνατότητα για την εφαρμογή του διεθνές προτύπου 1SO/IEC 27001, έτσι ώστε η όλη προσπάθεια για τη λειτουργία, παρακολούθηση, ανασκόπηση, συντήρηση και βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών να βασίζεται σε διεθνώς αναγνωρισμένα πρότυπα.
· .
Άνδρέας Ζαχαριάδης
Γενικός Διευθυντής


ΤΜΗΜΑ ΥΠΗΡΕΣΙΩΝ ΛΗΡΟΦΟΡΙΚΗΣ 1446 ΛΕΥΚΩΣIΑ

Γενικό Διευθυντή
Υπουργείου Εργασίας, Πρόνοιας και Κοινωνικών Ασφαλίσεων
(μέσω Γενικού Διευθυντή Υφυπουργείου Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής),

Θέμα: Αίτημα από την Βουλή, για τις διαδικασίες και τα μέτρα ασφάλειας που λαμβάνονται για τα Μηχανογραφημένα Συστήματα του ΥΕΠΚΑ 
Αναφορικά με το πιο πάνω θέμα και το ηλεκτρονικό σας μήνυμα με αρ. Φακ.: 05.24.002 και ημερ. 5/10/202ό, σχετικά με τα ερωτήματα που τέθηκαν από τον βουλευτή κ. Χαρ. Θεοπέμπτου (Παράρτημα Α'), σας ·πληροφορώ ότι το Τμήμα Υπηρεσιών Πληροφορικής θεωρεί την ασφάλεια των πληροφοριών των μηχανογραφημένων συστημάτων ως υπόθεση ύψιστης σημασίας και καταβάλλει κάθε
προσπάθεια για την εφαρμογή μέτρων και διαδικασιών για προστασία τους, τόσο από το διαδίκτυο, όσο και από το εvδοδίκτuο.

Ακολούθως, παρατίθενται απαντήσεις στα ερωτήματα του κ. θεοπέμπτου:

2. Σημείο 1.: Γίνεται προσπάθεια να εφαρμόζεται το πρότυπο 150 27001, για την διαχείριση και ασφάλεια των πληροφοριών, γενικά για όλα τα συστήματα/υποδομές, χωρίς όμως να υπάρχει πιστοποίηση. Η Υπηρεσία Εσωτερικού Ελέγχου (ΥΕΕ) αναλαμβάνει την πραγματοποίηση "Penetration Tests" στα Συστήματα της Δημόσιας Υπηρεσίας για τον έλεγχο της ασφάλειας τους και τη σύσταση μέτρων που ενδείκνυνται να λαμβάνονται: Υπάρχει συνεργασία με την ΥΕΕ λόγω της κρισιμότητας των Συστημάτων ΥΕΠΚΑ, ιδιαίτερα για τα Συστήματα των Υπηρεσιών Κοινωνικών Ασφαλίσεων (ΥΚΑ) και γίνεται προσπάθεια για την υλοποίηση των συστάσεων.

3. Σημεία 2. και 3.: Στον πίνακα που φαίνεται στο Παράρτημα Β', καταγράφονται οι πληροφορίες για τα συστήματα του ΥΕΠΚΑ

4. Σημείο 4.: Για τα μέτρα ασφάλειας που λαμβάνονται για τα Συστήματα και συγκεκριμένα την κuβερνοασφάλεια, εφαρμόζονται τα μέτρα ασφάλειας που προνοούνται στον Κυβερνητικό Κόμβο Διαδικτύου του ΤΥΠ. Στο παρόν στάδιο δεν έχουν εφαρμοστεί μέτρα διαχείρισης κινδύνου, όμως προγραμματίζεται το 2021 διενέργεια μελέτης εκτίμησης κινδύνου.

5. Σημείο 5.: Το ΥΕΠΚΑ επί του παρόντος δεν διαθέτει Disaster Recovery Site. Τον Μάιο 2020, έχει ολοκληρωθεί μελέτη και πρόταση για την υλοποίηση του, που περιέχει το απαραίτητο πλάνο για Business Continuity / Disaster Recovery του Ενιαίου Κέντρου Δεδομένων (ΕΚΔ) ΥΕΠΚΑ και όλων των εφαρμογών που φιλοξενεί . Η μελέτη περιέχει επίσης Σχέδιο Ασφαλείας που καθορίζει τα μέτρα ασφαλείας που ενδείκνυται να εφαρμοστούν. Το ΤΥΠ θα προωθήσει στη συνέχεια την υλοποίηση του Disaster Recovery Site με την προκήρυξη διαγωνισμού για τον σκοπό αυτό.

6. Επιπρόσθετα, εκτός από τα Συστήματα ΥΚΑ (Ενδοδικτυακό Σύστημα παροχών και επιδομάτων και Διαδικτυακό Σύστημα Πληρωμών Ασφαλιστικών Εισφορών) που έχουν ήδη μεταφερθεί στο ΕΚΔ, προγραμματίζεται η σταδιακή μεταφορά και των υπόλοιπων Συστημάτων ΥΕΠΚΑ στο ΕΚΔ. Μέχρι τα μέσα Νοεμβρίου 2020, προγραμματίζεται η μεταφορά των Συστημάτων του Τμήματος Εργασίας (Ενδοδικτυακό και Διαδικτυακό Σύστημα Εγγραφής Ανέργων). Τα υπόλοιπα Συστήματα του ΥΕΠΚΑ, υπολογίζεται όπως μεταφερθούν σταδιακά στο ΕΚΔ μέχρι το τέλος του 2022. 

Είμαι στη διάθεση σας για οποιεσδήποτε επιπρόσθετες πληροφορίες χρειαστείτε.

(Αντριάνα Αχιλλέως)
Διευθύντρια Τμήματος Υπηρεσιών Πληροφορικής


Απάντηση ημερομηνίας 10 Δεκεμβρίου 2020 της Υπουργού Εργασίας, Πρόνοιας και Κοινωνικών Ασφαλίσεων κ. Ζέτας Αιμιλιανίδου στην ερώτηση με αρ. 23.06.011.05.066, ημερομηνίας 22 Σεπτεμβρίου 2020, του βουλευτή εκλογικής περιφέρειας Λευκωσίας κ. Χαράλαμπου Θεοπέμπτου

«Αναφέρομαι στην πιο πάνω ερώτηση και σας πληροφορώ τις απόψεις του Τμήματος Υπηρεσιών Πληροφορικής, το οποίο έχει την αρμοδιότητα για την ομαλή και ασφαλή λειτουργία όλων των Μηχανογραφημένων Συστημάτων του Υπουργείου Εργασίας, Πρόνοιας και Κοινωνικών Ασφαλίσεων (ΥΕΠΚΑ) που είναι οι ακόλουθες:

“Το Τμήμα Υπηρεσιών Πληροφορικής θεωρεί την ασφάλεια των πληροφοριών των μηχανογραφημένων συστημάτων ως υπόθεση ύψιστης σημασίας και καταβάλλει κάθε προσπάθεια για την εφαρμογή μέτρων και διαδικασιών για προστασία τους, τόσο από το διαδίκτυο, όσο και από το ενδοδίκτυο. Ακολούθως, παρατίθενται απαντήσεις στα ερωτήματα του κ. Θεοπέμπτου:

Σημείο 1
.: Γίνεται προσπάθεια να εφαρμόζεται το πρότυπο ISO 27001, για την διαχείριση και ασφάλεια των πληροφοριών, γενικά για όλα τα συστήματα/υποδομές, χωρίς όμως να υπάρχει πιστοποίηση. Η Υπηρεσία Εσωτερικού Ελέγχου (ΥΕΕ) αναλαμβάνει την πραγματοποίηση "Penetration Tests" στα Συστήματα της Δημόσιας Υπηρεσίας για τον έλεγχο της ασφάλειας τους και τη σύσταση μέτρων που ενδείκνυνται να λαμβάνονται. Υπάρχει συνεργασία με την ΥΕΕ λόγω της κρισιμότητας των Συστημάτων ΥΕΠΚΑ, ιδιαίτερα για τα Συστήματα των Υπηρεσιών Κοινωνικών Ασφαλίσεων (ΥΚΑ) και γίνεται προσπάθεια για την υλοποίηση των συστάσεων.

Σημεία 2. και 3
.: Στον πίνακα που φαίνεται στο Παράρτημα Β', καταγράφονται οι πληροφορίες για τα συστήματα του ΥΕΠΚΑ.

Σημείο 4
.: Για τα μέτρα ασφάλειας που λαμβάνονται για τα Συστήματα και συγκεκριμένα την κυβερνοασφάλεια, εφαρμόζονται τα μέτρα ασφάλειας που προνοούνται στον Κυβερνητικό Κόμβο Διαδικτύου του ΤΥΠ. Στο παρόν στάδιο δεν έχουν εφαρμοστεί μέτρα διαχείρισης κινδύνου, όμως προγραμματίζεται το 2021 διενέργεια μελέτης εκτίμησης κινδύνου.

Σημείο 5
.: Το ΥΕΠΚΑ επί του παρόντος δεν διαθέτει Disaster Recovery Site. Τον Μάιο 2020, έχει ολοκληρωθεί μελέτη και πρόταση για την υλοποίηση του, που περιέχει το απαραίτητο πλάνο για Business Continuity/Disaster Recovery του Ενιαίου Κέντρου Δεδομένων (ΕΚΔ) ΥΕΠΚΑ και όλων των εφαρμογών που φιλοξενεί. Η μελέτη περιέχει επίσης Σχέδιο Ασφαλείας που καθορίζει τα μέτρα ασφαλείας που ενδείκνυται να εφαρμοστούν. Το ΤΥΠ θα προωθήσει στη συνέχεια την υλοποίηση του Disaster Recovery Site με την προκήρυξη διαγωνισμού για τον σκοπό αυτό.
Επιπρόσθετα, εκτός από τα Συστήματα ΥΚΑ (Ενδοδικτυακό Σύστημα παροχών και επιδομάτων και Διαδικτυακό Σύστημα Πληρωμών Ασφαλιστικών Εισφορών) που έχουν ήδη μεταφερθεί στο ΕΚΔ, προγραμματίζεται η σταδιακή μεταφορά και των υπόλοιπων Συστημάτων ΥΕΠΚΑ στο ΕΚΔ. Μέχρι τα μέσα Νοεμβρίου 2020, προγραμματίζεται η μεταφορά των Συστημάτων του Τμήματος Εργασίας (Ενδοδικτυακό και Διαδικτυακό Σύστημα Εγγραφής Ανέργων). Τα υπόλοιπα Συστήματα του ΥΕΠΚΑ, υπολογίζεται όπως μεταφερθούν σταδιακά στο ΕΚΔ μέχρι το τέλος του 2022.

Είμαι στη διάθεση σας για οποιεσδήποτε επιπρόσθετες πληροφορίες χρειαστείτε.”.

Επιπρόσθετα, το ΥΕΠΚΑ διερευνά τη δυνατότητα για την εφαρμογή του διεθνούς προτύπου ISO/IEC 27001, έτσι ώστε η όλη προσπάθεια για τη λειτουργία, παρακολούθηση, ανασκόπηση, συντήρηση και βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών να βασίζεται σε διεθνώς αναγνωρισμένα πρότυπα.»

Σημείωση: Τα επισυνημμένα έγγραφα έχουν καταχωρισθεί στο Αρχείο της Βουλής. Αντίγραφό τους δόθηκε στον βουλευτή που υπέβαλε την ερώτηση.
ΓΧ/ΜΑ/Ap-23.06.011.05.066











Εκτύπωση   Ηλεκτρονικό ταχυδρομείο