📄 Κείμενο νόμου
5. AΠΟΦΑΣΗ ΑΡΧΗΣ ΔΙΑΣΦΑΛΙΣΗΣ ΑΠΟΡΡΗΤΟΥ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΑΕ) Αριθ. 629α της 12 Νοεμ 2004/26 Ιαν. 2005 (ΦΕΚ Β΄ 87) Κανονισμός για τη Διασφάλιση Απορρήτου κατά την Παροχή Κινητών Τηλεπικοινωνιακών Υπηρεσιών. Έχοντας υπόψη: α.To Ν. 3115/27.2.2003, άρθρο 1 παραγρ. 1. β.To Ν. 3115/27.2.2003, άρθρο 6 παραγρ. 1. γ.'Οτι εκ της παρούσας Αποφάσεως δεν προκύπτει δαπάνη για το Δημόσιο δ.Τη σχετική εισήγηση της Υπηρεσίας, αποφάσισε: Κατά τη συνεδρίασή της την 10η Νοεμβρίου 2004, την έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση Απορρήτου κατά την Παροχή Κινητών Τηλεπικοινωνιακών Υπηρεσιών. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) ΚΕΦΑΛΑΙΟ I ΣΚΟΠΟΣ-ΟΡΙΣΜΟΙ Άρθρο 1 Σκοπός-Πεδίο Εφαρμογής Σκοπόςτου παρόντος Κανονισμού είναι: 1.Η θέσπιση των υποχρεώσεων των φορέων παροχής κινητών τηλεπικοινωνιακών υπηρεσιών γιατη διασφάλιση του απορρήτου των κινητών τηλεπικοινωνιακών υπηρεσιών στα πλαίσια της σχετικής Νομοθεσίας Ν. 2225/1994 «Περί προστασίας της ελευθερίας της ανταπόκρισης και επικοινωνίας και άλλες διατάξεις» και Ν. 3115/2003 «Περί Διασφάλισης του Απορρήτου των Επικοινωνιών»). 2.Η παρουσίαση βασικών χαρακτηριστικών ασφαλείας των τεχνολογιών κινητών επικοινωνιών δεύτερης και τρίτης γενιάς. 3.Η θέσπιση διαδικασιών ελέγχου στους εν λόγω φορείς σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις τους. Στις διατάξεις του παρόντος Κανονισμού υπάγονται όλοι οι τηλεπικοινωνιακοί πάροχοι οι οποίοι παρέχουν Κινητές Τηλεπικοινωνιακές Υπηρεσίες. Άρθρο 10 Προστασία επεξεργασίας των δεδομένων Επικοινωνίας Οι πάροχοι κινητών τηλεπικοινωνιακών υπηρεσιών οφείλουν να λαμβάνουν υπόψη και να εφαρμόζουν στο τμήμα της πολιτικής τους τις διατάξεις της κείμενης νομοθεσίας για την προστασία της επεξεργασίας των δεδομένων Επικοινωνίας. Άρθρο 11 Ασφάλεια σε σχέση με τους Χρήστες Παρόχου Οι χρήστες παρόχου οφείλουν να συμμορφώνονται με τις διατάξεις της νομοθεσίας περί προστασίας του απορρήτου. Ειδικότερα: α)Απαγορεύεται να αποκαλύπτουν πληροφορίες ή οποιαδήποτε στοιχεία που συνδέονται με: i) το περιεχόμενο ή την ουσία της επικοινωνίας που πραγματοποιείται μέσω παρόχου υπηρεσιών επικοινωνιών ή ii) υπηρεσίες επικοινωνιών που παρέχονται ή πρόκειται να παρασχεθούν σε ένα πρόσωπο μέσω ενός παρόχου υπηρεσιών επικοινωνιών ή iii) τα δεδομένα Επικοινωνίας που υποπίπτουν στην αντίληψη ή στην κατοχή του ως αποτέλεσμα της φύσης της εργασίας του. γ)Όσοι διαχειρίζονται ή έχουν πρόσβαση στη βάση δεδομένων των συνδρομητών απαγορεύεται να αποκαλύπτουν πληροφορίες ή οποιαδήποτε στοιχεία που συνδέονται με: i) υπηρεσίες επικοινωνιών που παρέχονται ή πρόκειται να παρασχεθούν σε ένα πρόσωπο μέσω ενός παρόχου υπηρεσιών επικοινωνιών ή ii) τα δεδομένα Επικοινωνίας που υποπίπτουν στην αντίληψη ή στην κατοχή τους, ως αποτέλεσμα της φύσης της εργασίας τους. δ)Οι χρήστες παρόχου που διαχειρίζονται κλήσεις έκτακτης ανάγκης απαγορεύεται να αποκαλύπτουν πληροφορίες ή οποιαδήποτε στοιχεία συνδέονται με: i) το περιεχόμενο ή την ουσία της επικοινωνίας που πραγματοποιείται μέσω του τηλεπικοινωνιακού παρόχου ή ii) τα δεδομένα Επικοινωνίας (όπως μη ανακοινώσιμες συνδέσεις και διευθύνσεις) που υποπίπτουν στην αντίληψη ή στην κατοχή τους, ως αποτέλεσμα της φύσης της εργασίας τους. Οι εξαιρέσεις των προηγούμενων γενικών κανόνων, που επιβάλλονται για λόγους λειτουργίας του παρόχου ή προβλέπονται στην ισχύουσα νομοθεσία, θα περιγράφονται με σαφήνεια στην πολιτική ασφάλειας του τηλεπικοινωνιακού παρόχου. Άρθρο 12 Πολιτική πρόσβασης 1.Η Πολιτική Πρόσβασης καθορίζει το επίπεδο πρόσβασης χρηστών παρόχου και διεργασιών λογισμικού σε καθένα από τα συστήματα υλικού και λογισμικού από τα οποία αποτελείται ο εξοπλισμός του παρόχου για την παροχή των κινητώντηλεπικοινωνιακών υπηρεσιών. 2.Η Πολιτική Πρόσβασης αποτελεί αναπόσπαστο τμήμα της ΠΔΑΚΤΥ. 3.Ο πάροχος οφείλει να διαθέτει και να εφαρμόζει Πολιτική Πρόσβασης για τα συστήματα τα οποία αναφέρονται σε εξωτερικές συνδέσεις, επικοινωνίες φωνής και δεδομένων, τηλεπικοινωνιακές συσκευές και προγράμματα λογισμικού. 4.Η Πολιτική Πρόσβασης περιγράφει για κάθε σύστημα, με τρόπο λεπτομερή και σαφή, τουλάχιοτον τις ακόλουθεςδιαδικασίες: (α)Διαδικασίες προσθήκης νέων χρηστών και χρηοτών παρόχου οτο συγκεκριμένο δίκτυο κινητών επικοινωνιών (β)Διαδικασίες εξουσιοδότησης σχετικά με την προσθήκη, διαγραφή και αλλαγή των επιπέδων πρόσβασης των χρηστών παρόχου σε τηλεπικοινωνιακές υπηρεσίες του εν λόγω συστήματος. (γ)Διαδικασίες ταυτοποίησης χρηστών (δ)Τρόπους ελέγχου των παραπάνω διαδικασιών και διαχείρισης του επιπέδου πρόσβασης που παραχωρείται στους χρήστες παρόχου (ε)Διαδικασίες πρόσβασης των χρηστών παρόχου των κινητών τηλεπικοινωνιακών υπηρεσιών σε συστήματα που διατηρούν δεδομένα κίνησης και θέσης χρηστών (Μετά τη σελ. 386,722) Σελ. 386,723 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 (στ)Σε περίπτωση που χρησιμοποιείται κρυπτογράφηση, η Πολιτική Πρόσβασης θα πρέπει να περιέχει τις διαδικασίες πρόσβασης των χρηστών παρόχου σε συστήματα κρυπτογράφησης / αποκρυπτογράφησης καθώς και σε διαδικασίες σχετικά με την διαχείριση, διανομή, εισαγωγή και αρχειοθέτηση των κλειδιών κρυπτογράφησης. Οι πληροφορίες αυτές θα αναφέρονται σε καταλλήλως διαβαθμισμένο παράρτημα των εγγράφων που περιέχουν την Πολιτική Πρόσβασης. Άρθρο 13 Πολιτική Αποδεκτής Χρήσης 1.Η Πολιτική Αποδεκτής Χρήσης περιγράφει τις επιτρεπόμενες και μη επιτρεπόμενες χρήσεις και δραστηριότητες των χρηστών και χρηστών παρόχου των συστημάτων μετάδοσης του δικτύου κινητών επικοινωνιών ενός παρόχου. 2.Η Πολιτική Αποδεκτής Χρήσης αποτελεί αναπόσπαστο τμήμα της ΠΔΑΚΤΥ. 3.Σκοπός της είναι να διασφαλίσει ότι οι χρήστες και οι χρήστες παρόχου δεν θα εκμεταλλευτούν την πρόσβαση που τους παρέχεται σύμφωνα με την Πολιτική Πρόσβασης σε παντός είδους τηλεπικοινωνιακά δίκτυα προκειμένου να προβούν σε ενέργειες που παραβιάζουν οποιονδήποτε νόμο του κράτους. 4.Η Πολιτική Αποδεκτής Χρήσης πρέπει να είναι προσαρμοσμένη στην κατηγορία χρηστών στην οποία απευθύνεται (χρηστών και χρηστών παρόχου) και να είναι σύμφωνη με την Πολιτική Πρόσβασης για κάθε κατηγορία χρηστών. 5.Η Πολιτική Αποδεκτής Χρήσης οφείλει να περιλαμβάνει, με όσο το δυνατόν πιο λεπτομερή και κατανοητό τρόπο ώστε να αποφεύγονται οι παρερμηνείες, το ακόλουθο ελάχιστο περιεχόμενο: (α)Δικαιώματα χρήστη και χρήστη παρόχου. Σε αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων συγκεκριμένα παραδείγματα αποδεκτής χρήσης των συστημάτων στα οποία ο χρήστης αποκτά πρόσβαση βάσει της Πολιτικής Πρόσβασης. (β)Υποχρεώσεις χρήστη και χρήστη παρόχου. Σε αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων συγκεκριμένα παραδείγματα μη αποδεκτής χρήσης των συστημάτων στα οποία ο χρήστης αποκτά πρόσβαση βάσει της Πολιτικής Πρόσβασης, καθώς και συνέπειες μη συμμόρφωσης με αυτές τις υποχρεώσεις. (γ)Δικαιώματα του παρόχου κινητών τηλεπικοινωνιακών υπηρεσιών. Σελ. 386,724 Τεύχος Σελ. (δ)Υποχρεώσεις του τηλεπικοινωνιακού παρόχου κινητών υπηρεσιών. 6.Επιπλέον στην ενότητα που αναφέρεται στις υποχρεώσεις των χρηστών, η Πολιτική Αποδεκτής Χρήσης οφείλει να περιλαμβάνει τις παρακάτω διατάξεις οι οποίες σχετίζονται με την ασφάλεια του συστήματος: (α)Οι χρήστες οφείλουν να λαμβάνουν όλα τα ενδεικνυόμενα μέτρα για την διασφάλιση του απορρήτου επικοινωνιών τους. (β)Οι χρήστες οφείλουν να ενημερώνουν αμέσως τους υπευθύνους του παρόχου αν υποπέσει στην αντίληψή τους οποιοδήποτε κενό ασφάλειας συστήματος που θέτει σε κίνδυνο το απόρρητο επικοινωνιών των ίδιων ή άλλων χρηστών. (γ)Οι χρήστες οφείλουν να αποκτούν πρόσβαση αποκλειστικά και μόνο σε δεδομένα κίνησης ή θέσης τα οποία αναφέρονται στους ίδιους ή είναι Δημοσίως Ανακοινώσιμα κατά την Πολιτική Ευαισθησίας Πληροφοριών ή για τα οποία τους έχει δοθεί πρόσβαση κατά την Πολιτική Πρόσβασης. (δ)Οι χρήστες απαγορεύεται να επιχειρούν να εκμεταλλευτούν πιθανά κενά ασφάλειας των συστημάτων του παρόχου προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες άλλων χρηστών, να διαταράξουν την ομαλή λειτουργίατων δικτύων, να εκτελέσουν κακόβουλο λογισμικό και γενικά να υποβαθμίσουν το επίπεδο ασφάλειας του συστήματος. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 7.Ο πάροχος οφείλει να δίνει στο χρήστη πρόσβαση στα συστήματά του μόνο εφόσον ο χρήστης έχει λάβει γνώση και ακολούθως έχει αποδεχθεί την Πολιτική Αποδεκτής Χρήσης. To γεγονός αυτό αποδεικνύεται είτε με έγγραφη δήλωση του χρήστη η οποία φέρει την πρωτότυπη υπογραφή του ή εφόσον ο χρήστης έχει συμπληρώσει το αντίστοιχο πεδίο σε σχετική φόρμα αποδοχής στην περίπτωση που η Πολιτική Αποδεκτής Χρήσης παρουσιάζεται ηλεκτρονικά. ΚΕΦΑΛΑΙΟ IV Υποχρεώσεις φορέων, Έλεγχος και Εποπτεία Άρθρο 14 Υποχρεώσεις φορέων αναφορικά με την Πολιτική Διασφάλισης του Απορρήτου των Κινητών Τηλεπικοινωνιακών Υπηρεσιών 1.Όλοι οι τηλεπικοινωνιακοί πάροχοι υπσχρεούνται: (α)Να διαθέτουν ανά πάσα στιγμή καθορισμένη πολιτική για τη διασφάλιση του απορρήτου τηλεπικοινωνιακών υπηρεσιών παρεχομένων από δημόσια τηλεπικοινωνιακά δίκτυα κινητών επικοινωνιών. (β)Να εφαρμόζουν την εν λόγω πολιτική. (γ)Να ενημερώσουν σχετικά ως προς την εφαρμοζόμενη πολιτική την ΑΔΑΕ εντός έξι μηνών από την δημοσίευση του παρόντος. (δ)Να εφαρμόζουν την εγκριθείσα από την ΑΔΑΕ πολιτική εντός ενός έτους από την έγκρισή της. 2.Κάθε τηλεπικοινωνιακός πάροχος οφείλει να προβλέπει στο οργανόγραμμά του ξεχωριστή διοικητική οντότητα η οποία θα είναι επιφορτισμένη με την κατάρτιση και την εφαρμογή της ΠΔΑΚΤΥ με επικεφαλής κατάλληλα καταρτισμένο στέλεχός του που θα φέρει τον τίτλο του Υπευθύνου Ασφαλείας. 3.Για την αποτελεσματική εφαρμογή της Πολιτικής Πρόσβασης ο κάθε τηλεπικοινωνιακός πάροχος οφείλει να ορίζει τουλάχιστον: (α)Έναν Υπεύθυνο Πρόσβασης, ο οποίος θα καθορίζει το είδος της πρόσβασης των χρηστών στα συοτήματα. (β)Έναν Υπεύθυνο Συστήματος, ο οποίος θα υλοποιεί τις αποφάσεις του Υπευθύνου Πρόσβασης. (γ)Έναν Υπεύθυνο Αντιγράφων Ασφαλείας, ο οποίος πάντα σε συνεννόηση με τον Υπεύθυνο Πρόσβασης θα καθορίζει ποιος έχει πρόσβαση στα αντίγραφα ασφάλειας καθώς και το χρονικό διάστημα λήψης τους. 4.Κάθε τηλεπικοινωνιακός πάροχος οφείλει να προβαίνει σε τακτικές επισκοπήσεις και αναθεωρήσεις της πολιτικής διασφάλισης του απορρήτου, είτε αυτόβουλα (μετά από έγκριση της ΑΔΑΕ σε περίπτωση αναθεώρησης) είτε ύστερα από σχετική εντολή της ΑΔΑΕ όπως μπορεί να προκύψει από πιθανή διαδικασία ελέγχου ή έκδοση σχετικής οδηγίας. 5.Σε περίπτωση παραβίασης (ή ιδιαίτερου κινδύνου παραβίασης) της πολιτικής προστασίας του απορρήτου ο πάροχος οφείλει να ενημερώνει άμεσα τους συνδρομητές σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και τις συνέπειες αυτών (συμπεριλαμβανομένου του πιθανού κόστους) και να παρέχει στοιχεία για την αποτροπή ή αντιμετώπισή τους. 6.Σε περίπτωση παραβίασης (ή ιδιαίτερου κινδύνου παραβίασης) της πολιτικής προοτασίας του απορρήτου που δεν είναι δυνατό να αντιμετωπιστεί με τα τρέχοντα μέσα που διαθέτει ο τηλεπικοινωνιακός πάροχος, αυτός οφείλει να ενημερώνει άμεσα τους συνδρομητές σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και τις συνέπειες αυτών (συμπεριλαμβανομένου του πιθανού κόστους). 7.Ο πάροχος οφείλει να ενημερώνει τους χρήστες για την ύπαρξη και τον τρόπο χρήσης τεχνολογιώνπόρων σχετικών με την ασφάλεια των μεταδιδομένων πληροφοριών. 8.Ο πάροχος οφείλει να ορίζει συνέπειες για τη μη συμμόρφωση των χρηστών παρόχου με τα προβλεπόμενα από την ΠΔΑΚΤΥ του Απορρήτου (συμπεριλαμβανομένων των Πολιτικών Πρόσβασης και Αποδεκτής χρήσης). Άρθρο 15 Διαδικασία Έλεγχου από την ΑΔΑΕ-Κυρώσεις 1.Η ΑΔΑΕ σε τακτά χρονικά διαστήματα διενεργεί έλεγχο σε κάθε πάροχο που εμπίπτει στις διατάξεις του παρόντος. Η συχνότητα των ελέγχων θα καθοριστεί από την ΑΔΑΕ με μεταγενέστερη Απόφασή της. 2.Η διαδικασία ελέγχου διενεργείται από τις αρμόδιες υπηρεσίες της ΑΔΑΕ ή από ειδικούς που τελούν υπό την άμεση επίβλεψη της ΑΔΑΕ, με την παρουσία εξουσιοδοτημένου προσώπου του παρόχου, σύμφωνα με τη διαδικασία που περιγράφεται στο Παράρτημα Α του παρόντος Κανονισμού. (Μετά τη σελ. 386,724) Σελ. 386,725 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 3.Κατά την διάρκεια του ελέγχου η ΑΔΑΕ καταγράφει αναλυτικά τις ενέργειες σε ειδικό έντυπο με τίτλο «Έκθεση Διενέργειας Ελέγχου σε Πάροχο Κινητών Τηλεπικοινωνιακών Υπηρεσιών αναφορικά μετην Πολιτική Διασφάλισης του Απορρήτου των Κινητών Τηλεπικοινωνιακών Υπηρεσιών». Τα ελάχιστα απαραίτητα στοιχεία του εν λόγω εντύπου παρατίθενται στο Παράρτημα Β του παρόντος Κανονισμού. 4.Η ομάδα ελέγχου κοινοποιεί το πόρισμά της στην Ολομέλεια της ΑΔΑΕ. Η Ολομέλεια της ΑΔΑΕ αξιολογεί τα ευρήματα του ελέγχου λαμβάνοντας υπόψη και τις πιθανές ενστάσεις του παρόχου και είτε εγκρίνει τις ενέργειες που προβλέπονται στην εκάστοτε πολιτική προστασίας του απορρήτου του παρόχου που έχει εγκριθεί από την ΑΔΑΕ είτε επιβάλλει κυρώσεις εφόσον κρίνει ότι δεν έχουν ληφθεί τα προσήκοντα μέτρα, με βάση τα αναφερόμενα στην εγκεκριμένη ΠΔΑΚΤΥ. 5.Η ΑΔΑΕ διενεργεί έκτακτους ελέγχους σε περίπτωση δημόσιων καταγγελιών ή έγγραφων καταγγελιών εκ μέρους των χρηστών. Εφόσον πρόκειται για δημόσιες καταγγελίες, ακολουθείται η διαδικασία που προβλέπεται για τους τακτικούς ελέγχους, ενώ στην περίπτωση εμπιστευτικών έγγραφων καταγγελιών εκ μέρους χρηστών, ο έλεγχος μπορεί κατά την κρίση της ΑΔΑΕ να γίνει αιφνιδιαστικά. 6.Ως προς τη διαδικασία και τις κυρώσεις της παραγράφου 5, ισχύουν οι διατάξεις του Νόμου 3115, άρθρο 11 και άρθρο 6, παράγραφος 4, καθώς και τα προβλεπόμενα στον εσωτερικό κανονισμό της ΑΔΑΕ (ΦΕΚ 1642/Β/ 7.11.2003). Άρθρο16 Άσκηση Εποπτείας Κάθε πάροχος κινητών τηλεπικοινωνιακών υπηρεσιών στο τέλος του ημερολογιακού έτους υποβάλλει στην ΑΔΑΕ ετήσια έκθεση με στοιχεία που αφορούν στην ασφάλεια των κινητών επικοινωνιών και τη διασφάλιση του απορρήτου. To ελάχιστο περιεχόμενο της ετήσιας έκθεσης ορίζεται ως εξής: (α)Περιστατικά που απείλησαν την ασφάλεια του παρόχου και τη διασφάλιση του απορρήτου καθώς καιτυχόν βλάβες που υπέστη ο πάροχος και οι χρήστες του εξαιτίας αυτών. (β)Μέτρα που ελήφθησαν για την αντιμετώπιση των ως άνωπεριστατικών. Η ΑΔΑΕ με Απόφασή της δύναται να μεταβάλλειτο ελάχιστο περιεχόμενο της ετήσιας έκθεσης. Σελ. 386,726 Τεύχος Σελ. Η ΑΔΑΕ δύναται να ζητήσει εκτάκτως από τους φορείς οποιεσδήποτε πληροφορίες θεωρεί αναγκαίες στα πλαίσια των αρμοδιοτήτων της για την ασφάλεια των κινητών επικοινωνιών και τη διασφάλιση του απορρήτου. Άρθρο 17 Προστασία Επεξεργασίας Αρχείων Σε περιπτώσεις παραβίασης των διατάξεων προστασίας του απορρήτου των επικοινωνιών, οι οποίες περιλαμβάνουν και επεξεργασία αρχείων που αφορούν την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η ΑΔΑΕ θα την ενημερώνει σχετικά προκειμένου να επιλαμβάνεται στο πλαίσιο των δικών της αρμοδιοτήτων. ΚΕΦΑΛΑΙΟ V ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 18 Έναρξη Ισχύος 1.Ο παρών Κανονισμός τίθεται σε ισχύ από την ημερομηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) ΠΑΡΑΡΤΗΜΑ Α Αναλυτική περιγραφή διαδικασίας Ελέγχου Τηλεπικοινωνιακού Παρόχου Κινητών Υπηρεσιών Η διαδικασία ελεγχου παρόχου διενεργείται με βάση τα ακόλουθα βήματα: «(α) Η Α.Δ.Α.Ε. με απόφαση της ορίζει ομάδα ελέγχου που αποτελείται από τρία (3) τουλάχιστον άτομα με σκοπό τον έλεγχο συγκεκριμένου παρόχου. Με την ίδια απόφαση καθορίζεται η ειδικότερη σύνθεση της ομάδας ελέγχου». Το εδάφ. α΄ αντικαταστάθηκε ως άνω από την με αριθ. 1699/15 Ιουλ.-6 Αυγ. 2008 (ΦΕΚ Β’ 1561) απόφ. ΑΔΑΕ. (β)Σε χρόνο που αποφασίζει η ομάδα ελέγχου, επικοινωνεί με τον πάροχο και ζητεί να έρθει σε άμεση επικοινωνία με τον υπεύθυνο ασφάλειας όπως αυτός ορίζεται στο κεφάλαιο IV του παρόντος. Τυχόν καθυστέρηση ή κώλυμα που παρουσιάζεται κατά την προσπάθεια επικοινωνίας με τον υπεύθυνο ασφάλειας καταγράφεται και φέρει τις ανάλογες κυρώσεις. (γ)Ο υπεύθυνος ασφάλειας παραδίδει στην ομάδα ελεγχου πλήρες αντίγραφο της ΠΔΑΚΤΥ και των τυχών συνοδευτικών εγγράφων. Από τα παραδιδόμενα έγγραφα θα πρέπει να προκύπτουν οι ημερομηνίες έκδοσης και έγκρισης των συγκεκριμένων πολιτικών. Τυχόν καθυστέρηση επίδοσης σημειώνεται και φέρει τις ανάλογες κυρώσεις. (δ)Η ομάδα ελέγχου προβαίνει σε αναλυτική εξέταση όλων των σχετικών εγγράφων ώστε να καταγραφούν οι τυχόν ελλείψεις που παρουσιάζονται στην πολιτική του παρόχου. Κατά την διαδικασία αυτή δύναται να ζητηθεί η συνδρομή του παρόχου έτσι ώστε να διασαφηνιστούν τυχόν ασάφειες και προβλήματα που παρουσιάζονται στην πολιτική προστασίας του απορρήτου. (ε)Κατά την διάρκεια του ελέγχου ο πάροχος δεν έχει την δυνατότητα να αντικαταστήσει την πολιτική προστασίας του απορρήτου με νέα ούτε να προβεί σε τυχόν διορθώσεις αυτής. (στ)Σε περίτπωση ασαφειών ως προς την πολιτική προστασίας του απορρήτου οι πάροχοι, μετά από σχετική σύσταση της ΑΔΑΕ θα προβαίνουν στις απαραίτητες διορθώσεις στην πολιτική τους (ζ)Η ομάδα ελέγχου προβαίνει σε αυτοψία των εγκαταστάσεων του παρόχου για να διαπιστώσει σε ποιο βαθμό εφαρμόζονται οι διαδικασίες που προβλέπονται από τα προσκομισθέντα έγγραφα. Η αυτοψία δύναται να περιλαμβάνει και επαφή με το προσωπικό του παρόχου. Η ομάδα ελέγχου καταγράφει αναλυτικά τις ελλείψεις και τα σφάλματα που τυχόν διαπιστώνονται. (η)Ο πάροχος οφείλει να υποβάλλει στην ομάδα ελέγχου οποιοδήποτε στοιχείο θεωρηθεί απαραίτητο από την ομάδα για την επιτυχή ολοκλήρωση του ελεγχου. (θ)Τυχόν διαπίστωση έλλειψης συνεργασίας από τον πάροχο ή/και προσπάθειας παραπλάνησης της ομάδας ελέγχου καταγράφεται και φέρει τις ανάλογες κυρώσεις. ΠΑΡΑΡΤΗΜΑ Β Ελάχιστο περιεχόμενο του εντύπου με τίτλο «Έκθεση Διενέργειας Ελέγχου σε Τηλεπικοινωνιακό Πάροχο αναφορικά με την Πολιτική Διασφάλισης του Απορρήτου των Κινητών Τηλεπικοινωνιακών Υπηρεσιών» To ως άνω έντυπο θα περιέχει απαραιτήτως τουλάχιστον τα ακόλουθα στοιχεία: (α)Τα στοιχεία της Απόφασης της ΑΔΑΕ με την οποία αποφασίστηκε ο έλεγχος. (β)Τα ονοματεπώνυμα και της ιδιότητες των στελεχών της ΑΔΑΕ που απαρτίζουν την ομάδα ελεγχου καθώς και την ημερομηνία σύστασής της. (γ)To όνομα του υπό έλεγχο παρόχου καθώς καιτο όνομα του υπευθύνου ασφάλειας του. (δ)To χρόνο που απαιτήθηκε έως ότου να παραδοθεί στην ομάδα ελέγχου η πλήρης πολιτική διασφάλισης απορρήτου του παρόχου. (ε)Ημερολόγιο ενεργειών και ερωτήσεων της ομάδας ελέγχου και καταγραφή της ανταπόκρισης του ελεγχόμενου παρόχου. (στ)To αποτέλεσμα της αυτοψίας για την αποτίμηση της εφαρμογής της Πολιτικής Διασφάλισης της Προστασίας του Απορρήτου με καταγραφή τυχόν ελλείψεων και ασαφειών. (ζ)Τις ημερομηνίες έναρξης και περάτωσης του ελεγχου. (η)Τελικό πόρισμα του ελέγχου και εισήγηση προς την Ολομέλεια της ΑΔΑΕ. (Μετά τη σελ. 386,726) Σελ. 386,727 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 Άρθρο 2 Ορισμοί Για τις ανάγκεςτου παρόντος Κανονισμού χρησιμοποιούνται οι παρακάτω ορισμοί. Ακεραιότητα: Η επιβεβαίωση ότι τα δεδομένατα οποία έχουν σταλεί, έχουν παραληφθεί ή έχουν αποθηκευθεί είναι πλήρη και αμετάβλητα. Αντίγραφα ασφάλειας: Τα αντίγραφα των ηλεκτρονικών αρχείων πληροφοριών που αφορούν σε δεδομένα επικοινωνίας και χρησιμοποιούνται σε περιπτώσεις καταστροφής των πρωτευόντων αρχείων για την ανάκτησή τους. Απειλή: Η εν δυνάμει παραβίαση της ασφάλειας ενός συστήματος Αυθεντικότητα: Η επιβεβαίωση της εγκυρότητας της ταυτότητας. Δεδομένα θέσης: Όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία στο τηλεπικοινωνιακό δίκτυο και υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό τηλεπικοινωνιακής υπηρεσίας. Δεδομένα κίνησης: Όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία για να επιτευχθεί η επικοινωνία μέσω του τηλεπικοινωνιακού δικτύου ή για την τιμολόγησή της. Δημόσιο δίκτυο κινητών επικοινωνιών: Τηλεπικοινωνιακό Δίκτυο αποτελούμενο από τα συστήματα μετάδοσης, τον εξοπλισμό μεταγωγής και τα λοιπά μέσα που επιτρέπουν την μεταφορά σημάτων πληροφορίας με χρήση ραδιοκυμάτων, οπτικών ή άλλων ηλεκτρομαγνητικών μέσων, των οποίων η χρήση είναι εν μέρει ή καθολική για την παροχή διαθέσιμων στο κοινό τηλεπικοινωνιακών υπηρεσιών σε τερματικά που δεν βρίσκονται σε σταθερές θέσεις. Δημόσιο τηλεπικοινωνιακό δίκτυο 3ης γενιάς: Δημόσιο Τηλεπικοινωνιακό Δίκτυο Κινητών Επικοινωνιών 3ης Γενιάς (ΙΜΤ-2000), το οποίο είναι σε θέση να υποστηρίζει καινοτόμες πολυμεσικές υπηρεσίες (πέραν των δυνατοτήτων των δικτύων 2ης Γενιάς όπως το GSM) με την υψηλή ταχύτητα επικοινωνίας που εξασφαλίζει μεταξύ τερματικών και δικτύου. Δημόσιες κινητές τηλεπικοινωνιακές υπηρεσίες: Τηλεπικοινωνιακές υπηρεσίες των οποίων η παροχή συνίσταται, συνολικά ή εν μέρει, στην εγκατάσταση ραδιοεπικοινωνίας με έναν κινητό χρήστη και οι οποίες χρησιμοποιούν, ολικώς ή εν μέρει, ένα Δημόσιο Δίκτυο Κινητών Επικοινωνιών. Δημόσιες κινητές τηλεπικοινωνιακές υπηρεσίες 2ης γενιάς: οι δημόσιες Τηλεπικοινωνιακές Υπηρεσίες Κινητών Επικοινωνιών που χρησιμοποιούν καθολικά ή εν μέρει ένα Δημόσιο Τηλεπικοινωνιακό Δίκτυο Κινητών Επικοινωνιών 2ης Γενιάς, όπως αυτές οι υπηρεσίες προσδιορίζονται στις Συστάσεις των Τηλεπικοινωνιακών Δικτύων Κινητών Επικοινωνιών όπως τοGSM1800/GSM900. Δημόσιες κινητές τηλεπικοινωνιακές υπηρεσίες 3ης γενιάς: οι δημόσιες Τηλεπικοινωνιακές Υπηρεσίες Κινητών Επικοινωνιών που χρησιμοποιούν καθολικά ή εν μέρει ένα Δημόσιο Τηλεπικοινωνιακό Δίκτυο Κινητών Επικοινωνιών 3ης Γενιάς, όπως αυτές οι υπηρεσίες προσδιορίζονται στις Συστάσεις των Τηλεπικοινωνιακών Δικτύων Κινητών Επικοινωνιών 3ης Γενιάς, UMTS (ΙΜΤ-2000) που εκδίδονται από το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προδιαγραφών (ETSI) και το Διεθνή Οργανισμό Τηλεπικοινωνιών (ΙΤu). Έλεγχος πρόσβασης: Η πρόληψη μη εξουσιοδοτημένης χρήσης ενός πόρου, συμπεριλαμβανομένης της πρόληψης της χρήσης του πόρου με μη εξουσιοδοτημένο τρόπο. Εμπιστευτικότητα: Η προστασία των επικοινωνιών ή των αποθηκευμένων δεδομένων από την υποκλοπή και την ανάγνωση από μη εξουσιοδοτημένα άτομα. (Μετά τη σελ. 386,716) Σελ. 386,717 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 Εξουσιοδότηση: Η διαδικασία χορήγησης δικαιώματος πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με βάση την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγείται από την οντότητα που ελεγχει τον πόρο για τον οποίο ζητάται η πρόσβαση. Επίθεση: Οι δραστηριότητες που αναπτύσσονται με σκοπό την παράκαμψη ή την εκμετάλλευση των ατελειών των μηχανισμών ασφάλειας ενός συστήματος. Διακρίνονται σε άμεσες (εκμετάλλευση ατελειών αλγορίθμων, αρχών και ιδιοτήτων του μηχανισμού ασφάλειας) και έμμεσες επιθέσεις (υποχρέωση του συστήματος να χρησιμοποιήσει το μηχανισμό ασφάλειας με λανθασμένο τρόπο, παράκαμψη μηχανισμών). Επικοινωνία: περιλαμβάνει κάθε είδους επικοινωνία μεταξύ ανθρώπων, αντικειμένων, ανθρώπων και αντικειμένων η οποία γίνεται είτε με τη μορφή του προφορικού ή γραπτού λόγου, είτε με τη μορφή μουσικής, ήχων και εικόνων, είτε με τη μορφή σημάτων είτε και με οποιοδήποτε συνδυασμό όλων αυτώντων μορφών. Κινητό τερματικό: Περιλαμβάνει την κινητή συσκευή και την κάρτα ταυτότητας συνδρομητή (SIM ή USIM) που περιέχει όλα τις πληροφορίες και τα δεδομένα που αφορούν τον συνδρομητή, ενώ η Κινητή Συσκευή ή κινητό τηλέφωνο, μπορεί να είναι κοινή για οποιοδήποτε δίκτυο χρησιμοποιεί ο συνδρομητής. Προστασία του απορρήτου: Η απαγόρευση της ακρόασης, της παγίδευσης, της αποθήκευσης, της επεξεργασίας, της ανακοίνωσης, της δημοσιοποίησης ή άλλου τύπου υποκλοπής ή παρακολούθησης της τηλεπικοινωνίας και των δεδομένων επικοινωνίας από άλλα πρόσωπα, χωρίς την συγκατάθεσή τους, εξαιρουμένων των περιπτώσεων που προβλέπονται στο σύνταγμα και τους νόμους. Σταθερές τηλεπικοινωνιακές υπηρεσίες: Οι υπηρεσίες των οποίων η παροχή συνίσταται συνολικά ή εν μέρει στη μετάδοση και δρομολόγηση σημάτων μέσω σταθερών τηλεπικοινωνιακών δικτύων εξαιρουμένων των ραδιοφωνικών και τηλεοπτικών εκπομπών. Συνδρομητής: Κάθε φυσικό ή νομικό πρόσωπο που έχει συνάψει σύμβαση με φορέα παροχής διαθέσιμων στο κοινό τηλεπικοινωνιακών υπηρεσιών για την παροχή των υπηρεσιών αυτών. Σταθμός βάσης: Σταθερός σταθμός του δικτύου κινητών επικοινωνιών που χρησιμοποιείται για την ασύρματη επικοινωνία με τα κινητά τερματικά. Σελ. 386,718 Τεύχος Σελ. Ταυτότητα: Οι πληροφορίες που προσδιορίζουν το χρήστη με μοναδικό τρόπο. Τηλεπικοινωνία: Η μεταφορά ήχων, σημάτων, εικόνων, δεδομένων, και εν γένει κάθε φύσης πληροφοριών μεταδιδόμενων εν όλω ή εν μέρει μέσω ενσύρματων, ασύρματων, ηλεκτρομαγνητικών, φωτοηλεκτρονικών ή φωτοοπτικών συστημάτων. Τηλεπικοινωνιακός πάροχος: Κάθε φυσικό ή νομικό πρόσωπο που παρέχει τηλεπικοινωνιακές υπηρεσίες στο κοινό ή δημόσιο τηλεπικοινωνιακό δίκτυο. Όπου στο κείμενο αναφέρεται ο όρος χωρίς επεξήγηση θα εννοείται ο Πάροχος τηλεπικοινωνιακών υπηρεσιών. Υπηρεσία κλήσης έκτακτης ανάγκης: Η υπηρεσία λήψης και διαχείρισης κλήσεων έκτακτης ανάγκης που γίνονται προς έναν τηλεφωνικό αριθμό και δρομολογούνται προς ειδικές κρατικές και μη Υπηρεσίες όπως είναι η Αστυνομία, η Πυροσβεστική Υπηρεσία, τα Νοσοκομεία, κ.λπ. Χρήστης: Κάθε φυσικό πρόσωπο ή νομική οντότητα που χρησιμοποιεί ή ζητά διαθέσιμη στο κοινό τηλεπικοινωνιακή υπηρεσία. Χρήστης Παρόχου: Κάθε φυσικό πρόσωπο που ανήκει στο προσωπικό ή τους συνεργάτες του Παρόχου και χρησιμοποιεί τα συστήματα και τις υποδομές του Παρόχου. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) ΚΕΦΑΛΑΙΟ II Πολιτική Διασφάλισης Απορρήτου Κινητών Τηλεπικοινωνιακών Υπηρεσιών Άρθρο 3 Ορισμός-Γενικές Απαιτήσεις και Συστάσεις 1.Πολιτική Διασφάλισης του Απορρήτου των Κινητών Τηλεπικοινωνιακών Υπηρεσιών (ΠΔΑΚΤΥ), είναι το σύνολο των κριτηρίων και κανόνων που καθορίζουν τις απαιτήσεις, τις υποχρεώσεις και τα δικαιώματα που διέπουν τη λειτουργία των τηλεπικοινωνιακών παρόχων και των χρηστών των τηλεπικοινωνιακών υπηρεσιών, με σκοπό την προστασία του απορρήτου των επικοινωνιών που διεξάγονται μέσω δικτύων κινητών τηλεπικοινωνιακών επικοινιωνιών. 2.Η ΠΔΑΚΤΥ θα εκπονείται από τους τηλεπικοινωνιακούς παρόχους διαθέσιμων στο κοινό κινητών τηλεπικοινωνιακών υπηρεσιών με βάση τις απαιτήσεις και τις υποδείξεις του παρόντος Κανονισμού και θα εφαρμόζεται από αυτούς μετά την έγκρισή της από την ΑΔΑΕ.. 3.Η ΠΔΑΚΤΥ αποτελείται από επί μέρους πολιτικές όπως είναι η Πολιτική προστασίας των Δικτύων Κινητών Επικοινωνιών, η Πολιτική επεξεργασίας δεδομένων Επικοινωνίας, η Πολιτική σε σχέση με το προσωπικό και τους συνεργάτες των τηλεπικοινωνιακών παρόχων, η Πολιτική πρόσβασης, η Πολιτική αποδεκτής χρήσης και η Πολιτική άρσης του απορρήτου από τις οποίες απορρέουν τα δικαιώματα και οι υποχρεώσεις των εμπλεκομένων στη λειτουργία, τη διαχείριση και τη χρήση των τηλεπικοινωνιακών υπηρεσιών. 4.Η ΠΔΑΚΤΥ για να θεωρείται επαρκής θα πρέπει να διαθέτει τουλάχιστον τα ακόλουθα χαρακτηριστικά: α)Να υλοποιείται μέσω διαδικασιών διαχείρισης συστημάτων, δημοσιοποίησης οδηγιών αποδεκτής χρήσης ή άλλων αντίστοιχων κατάλληλων μεθόδων. β)Οι διαδικασίες οι οποίες σχετίζονται με την υλοποίηση της πολιτικής πρέπει να περιλαμβάνουν τουλάχιστον τον προσδιορισμό ταυτότητας, την αυθεντικότητα, την εξουσιοδότηση, τον έλεγχο πρόσβασης, την εμπιστευτικότητα, την ακεραιότητα, την προστασία του απορρήτου και τον έλεγχο παραβίασης της ασφάλειας του απορρήτου. γ)Να εφαρμόζεται μέσω εργαλείων ασφάλειας ή/και μέσω διαδικασιών ασφάλειας. δ)Να καθορίζει τις περιοχές ευθύνης των χρηστών και των χρηστών παρόχου. Επιπλέον οι μηχανισμοί μεταβολής της πολιτικής διασφάλισης του απορρήτου πρέπει να είναι καλά ορισμένοι, περιλαμβάνοντας τη διαδικασία, τους εμπλεκόμενους, καθώς και τους υπεύθυνους προς έγκριση. 5.Επίσης, συνιστάται η ΠΔΑΚΤΥ: α)Να είναι ανεξάρτητη, στο μέτρο που είναι δυνατόν από τεχνικής απόψεως, από συγκεκριμένο εξοπλισμό (υλικό, λογισμικό) και β)Να βασίζεται σε μια ανοικτή αρχιτεκτονική έτσι ώστε να καθίσταται βιώσιμη μακροπρόθεσμα. 6.Η ΠΔΑΚΤΥ υπόκειται σε έλεγχο από την ΑΔΑΕ, τόσο ως προς την πληρότητα και αποτελεσματικότητά της, όσο και ως προς τον βαθμό εφαρμογής της. Άρθρο 4 Χάραξη και στοιχεία Πολιτικής Διασφάλισης Απορρήτου Κινητών Τηλεπικοινωνιακών Υπηρεσιών 1.Ένας τηλεπικοινωνιακός πάροχος προκειμένου να χαράξει την πολιτική του μπορεί, χωρίς να υποχρεώνεται ή να περιορίζεται, να ακολουθήσει τα παρακάτω βήματα: α)Να προσδιορίσει τις πληροφορίες που πρέπει να προστατευτούν. β)Να προσδιορίσει τα ευάλωτα σημεία του τηλεπικοινωνιακού δικτύου. γ)Να προσδιορίσει τους κινδύνους και τις απειλές για τα α), β). δ)Να προσδιορίσει τα μέτρα διασφάλισης της προστασίας του απορρήτου στις κινητές Τηλεπικοινωνιακές Υπηρεσίες. ε)Να καθορίσει τις υποχρεώσεις των υπαλλήλων και συνεργατών του. στ)Να καθορίσει τις δεσμεύσεις και υποχρεώσεις του έναντι των πελατών του. ζ)Να καταρτίσει σχέδιο αναθεώρησης και βελτίωσης της ΠΔΑΚΤΥ κάθε φορά που θα εντοπίζεται νέος κίνδυνος ή αδυναμία ή που θα προκύπτουν νέες τεχνολογικές διευκολύνσεις διαχείρισης ασφάλειας. (Μετά τη σελ. 386,718) Σελ. 386,719 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 2.Κάθε τηλεπικοινωνιακός πάροχος πρέπει, και σε περίπτωση που απαιτείται σε συνεργασία με τους παρόχους τηλεπικοινωνιακού δικτύου, να τεκμηριώνει με σχέδια την προστασία του απορρήτου για να αντιμετωπίσει προβλήματα που πιθανώς να εμφανισθούν σε έκτακτες περιστάσεις, όπως είναι η άρση του απορρήτου μετά από εντολή δικαστικών ή εισαγγελικών αρχών (Νόμος 2225) και η προβληματική λειτουργία των τηλεπικοινωνιακών ή/και των μηχανογραφικών συστημάτων του ή των συστημάτων των συνεργατών του. Άρθρο 5 Προστατευόμενα στοιχεία κινητών επικοινωνιών 1.Κάθε πάροχος κινητών τηλεπικοινωνιακών υπηρεσιών οφείλει να διασφαλίζει και να προστατεύει το απόρρητο των διαφόρων δεδομένων Επικοινωνίας του περιεχόμενου της επικοινωνίας, και εν γένει κάθε πληροφορίας που αφορά τους συνδρομητές του και χρησιμοποιείται για την παροχή της τηλεπικοινωνιακής υπηρεσίας, τη διεκπεραίωση της επικοινωνίας, κ.τ.λ. 2.Σε συγκεκριμένο φυσικό ή νομικό πρόσωπο, που είναι συνδρομητής ή χρήστης ενός παρόχου κινητών τηλεπικοινωνιακών υπηρεσιών πρέπει να προστατεύεται το απόρρητο των ακόλουθων στοιχείων εισερχομένων και εξερχομένων κλήσεων: α)Καλών και καλούμενος αριθμός, β)Καλών και καλούμενος συνδρομητής-χρήστης, γ)Χρόνος και διάρκεια επικοινωνίας, δ) Εντοπισμός καλούντος ή και καλούμενου χρήστη, ε)Στοιχεία που αφορούν στη χρέωση της επικοινωνίας, στ)Περιεχόμενο και δεδομένα επικοινωνίας, ζ)Ταυτότητα κινητής τερματικής συσκευής και ταυτότητα σύνδεσης. 3.Οι πάροχοι κινητών τηλεπικοινωνιακών υπηρεσιών θα πρέπει να προσδιορίζουν τους κινδύνους και τις ενδεχόμενες απειλές για τα παραπάνω στοιχεία. Ο πάροχος οφείλει να διασφαλίζει το απόρρητο της μετάδοσης και αποθήκευσης των δεδομένων Επικοινωνίας που χρησιμοποιούνται σε ένα δίκτυο κινητών επικοινωνιών. Κάθε τηλεπικοινωνιακός πάροχος οφείλει να ενημερώνει τους συνδρομητές του με συγκεκριμένους τρόπους και μέσα της επιλογής του για οποιουσδήποτε ειδικούς κινδύνους σχετικά με την ασφάλεια των υπηρεσιών που παρέχει καθώς επίσης και οποιωνδήποτε δυνατοτήτων για την απομάκρυνση των κινδύνων και του κόστους των μέτρων που περιλαμβάνονται. Σελ. 386,720 Τεύχος Σελ. Άρθρο 6 Ευάλωτα Σημεία Δικτύου Κινητών Επικοινωνιών Ενδεικτικά αναφέρονται ευάλωτα σημεία σε επιθέσεις και παραβιάσεις: 1.Τερματικών συσκευών χρηστών: α)Η ίδια η συσκευή β)To αρχείο των εξερχόμενων ή εισερχόμενων κλήσεων γ)To αρχείο των καλούντων και καλούμενων αριθμών δ)Ο τυχόν ενσωματωμένος αυτόματος τηλεφωνητής ε)Τυχόν μνήμη καταγραφής στ)Κάρτα Ταυτότητας Συνδρομητή (SIM) 2.Δικτύου: α)Σταθμός Βάσης β)Μικροκυματικές Ραδιοζεύξεις (μεταξύ σταθμών βάσης, κ.α.) γ)Αλγόριθμοι Κρυπτογράφησης δ)Διακομιστές (servers) ε)To φωνητικό ταχυδρομείο (Voice mail). στ)Κεντρικοί κατανεμητές Παρόχου ζ)Κέντρα μεταγωγής και συνδέσεις του δικτύου κινητών επικοινωνιών με το σταθερό τηλεπικοινωνιακό δίκτυο η)Οι δρομολογητές κλήσεων όταν υπάρχει εκτροπή των κλήσεων σε εναλλακτικό φορέα παροχής τηλεπικοινωνιακών υπηρεσιών θ)Η αποκάλυψη κλειδιών που χρησιμοποιούνται για κρυπτογράφηση. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) Ο πάροχος κινητών τηλεπικοινωνιακών υπηρεσιών θα πρέπει να ενημερώνει τους χρήστες με συγκεκριμένα μέσα (γραπτές οδηγίες κ.λπ.) για τα ευάλωτα σημεία που ανήκουν στην περιοχή ευθύνης τους και θα λαμβάνει όλα τα προσήκοντα μέτρα για την προστασία των ευάλωτων σημείων που ανήκουν στην δικαιοδοσία του. ΚΕΦΑΛΑΙΟ III Επιμέρους ΠολιτικέςΔιασφάλισης Απορρήτου Κινητών Τηλεπικοινωνιακών Υπηρεσιών Άρθρο 7 Ασφάλεια Δικτύων Κινητών Επικοινωνιών Δεύτερης Γενιάς 1.Η ασφάλεια ενός δικτύου κινητών επικοινωνιών δεύτερης γενιάς θα πρέπει να καλύπτει τις απαιτήσεις τόσο του παρόχου όσο καιτου συνδρομητή. 2.Ένας τηλεπικοινωνιακός πάροχος, διαχειριστής ενός δικτύου κινητών επικοινωνιών 2ης γενιάς, πρέπει να χρησιμοποιεί τις προτεινόμενες διαδικασίες ασφαλείας σχετικές με: α) την δημιουργία και διανομή των κλειδιών, β) την ανταλλαγή πληροφοριών με άλλους διαχειριστές και γ) το απόρρητο των αλγορίθμων. 3.Οι βασικοί στόχοι ασφάλειας για ένα πάροχο κινητών τηλεπικοινωνιακών υπηρεσιών μέσων ενός δικτύου κινητών επικοινωνιών 2ης γενιάς είναι: α)To απόρρητο της ταυτότητας του συνδρομητή, ώστε να μην μπορεί κάποιος τρίτος να γνωρίζει πότε και από που χρησιμοποιεί ο συνδρομητής το δίκτυο. Για να επιτευχθεί το απόρρητο της ταυτότητας του συνδρομητή, του αποδίδονται προσωρινές ταυτότητες. Κάθε συνδρομητής έχει μία Διεθνή Ταυτότητα Συνδρομητή η οποία είναι παγκοσμίως μοναδική και είναι αποθηκευμένη στην κάρτα SIM (Subscriber Identity Module). H Διεθνής Ταυτότητα Συνδρομητή χρησιμοποιείται μόνο όταν δεν υπάρχει άλλος τρόπος να αναγνωρισθεί ο Συνδρομητής. Αυτό μπορεί να συμβεί κατά την διαδικασία δημιουργία της πρώτης σύνδεσης ενός καινούριου Συνδρομητή ή εφόσον υπάρξει κάποια απώλεια δεδομένων στο δίκτυο. Επιπλέον, στην διάρκεια της σύνδεσης στο δίκτυο, δίνεται σε τακτά χρονικά διαστήματα καινούρια Προσωρινή Ταυτότητα στον Κινητό Σταθμό, κάτι που καθιστά αρκετά δύσκολη την προσπάθεια γεωγραφικού εντοπισμού του Συνδρομητή. Εφόσον δεν υπάρχει κάποιο πρόβλημα με το δίκτυο, με κανένα τρόπο δεν πρέπει να μεταδίδεται η Διεθνής Ταυτότητα μέσω του αέρα σε καμιά άλλη περίπτωση εκτός από την διαδικασία της αρχικής σύνδεσης. β)Η πιστοποίηση της ταυτότητας του συνδρομητή, ώστε ο διαχειριστής να είναι σίγουρος ότι χρεώνει το σωστό άτομο. Η διαδικασία πιστοποίησης στις κινητές επικοινωνίες 2ης γενιάς είναι μια μονομερής διαδικασία αφού ο Συνδρομητής δεν μπορεί να πιστοποιήσει την ταυτότητα του δικτύου. Βασικό ρόλο στη διαδικασία πιστοποίησης διαδραματίζει ο Αλγόριθμος Πιστοποίησης Α3, ο οποίος δεν είναι απαραίτητα κοινός για όλα τα δίκτυα αλλά για να υπάρχει συμβατότητα μεταξύ τους, οι βασικές του παράμετροι καθορίζονται από την κοινοπραξία GSM. γ)Η προστασία των δεδομένων σηματοδοσίας, ώστε δεδομένα όπως αριθμοί τηλεφώνου να μην μπορούν να υποκλαπούν. δ)Η προστασία της συνομιλίας, ώστε να προστατευτεί το απόρρητο της συνομιλίας. Η προστασία των δεδομένων Επικοινωνίας είναι επίσης απαραίτητη. Η χρησιμοποίηση ή μη της κρυπτογράφησης εξαρτάται από το δίκτυο κινητών επικοινωνιών και όχι από τον συνδρομητή. Μόνο ο σταθμός βάσης μπορεί να στείλει εντολή στον κινητό τερματικό σταθμό ώοτε να ξεκινήσει η κρυπτογράφηση και από τις δύο πλευρές. Οι αλγόριθμοι, που χρησιμοποιούνται για την κρυπτογράφηση των δεδομένων, είναι γνωστοί ως Α8 και Α5 και είναι αποθηκευμένοι, ο μεν πρώτος στην κάρτα SIM και ο δεύτερος στην κινητή συσκευή. Συνήθως ο αλγόριθμος Α8 συνδυάζεται μαζί με το A3 σε ένα νέο αλγόριθμο, τον Α3/8. Εφόσον υπάρχουν διαφορετικές εκδόσεις του αλγόριθμου Α5, πριν αρχίσει η κρυπτογράφηση είναι απαραίτητο να ενημερωθεί ο Σταθμός Βάσης για την έκδοση του αλγορίθμου που χρησιμοποιεί ο Κινητός Σταθμός. To κλειδί κρυπτογράφησης πρέπει να ανανεώνεται κάθε φορά που πιστοποιείται η ταυτότητα του Συνδρομητή από το Δίκτυο και αυτό πρέπει να γίνεται πριν από κάθε κλήση ή κάθε φορά που ο Συνδρομητής επιθυμεί να συνδεθεί στο δίκτυο εκ νέου. Η συχνότητα της πιστοποίησης από τον Διαχειριστή του Δικτύου Κινητών Επικοινωνιών πρέπει να είναι τέτοια ώστε να ελαχιστοποιούνται οι πιθανότητες υποκλοπής δεδομένων συνομιλίας και σηματοδοσίας. 4.Περιπτώσεις απειλών του συστήματος ασφαλείας ενός δικτύου κινητών επικοινωνιών δεύτερης γενιάς: α)Απόκτηση πρόσβασης στο δίκτυο κορμού β)Επιθέσεις στην κάρτα SIM γ)Επίθεση στο αλγόριθμο Α5 δ)Επίθεση με απομίμηση σταθμού βάσης ε)Άρνηση των υπηρεσιών για ένα συνδρομητή λόγω παρεμβολής. (Μετά τη σελ. 386,720) Σελ. 386,721 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.5 Άρθρο 8 Ασφάλεια Δικτύων Κινητών Επικοινωνιών Τρίτης Γενιάς 1.Η ασφάλεια ενός δικτύου κινητών επικοινωνιών τρίτης γενιάς περιλαμβάνειτις παρακάτω βασικές αρχές: α)Τα δεδομένα που σχετίζονται ή δημιουργούνται από τον χρήστη είναι επαρκώς προστατευμένα από κακή χρήση ή κατάχρηση β)Οι υπηρεσίες που παρέχονται από τα δίκτυα εξυπηρέτησης και τους καταχωρητές στους σταθμούς βάσης είναι επαρκώς προστατευμένες από κακή χρήση ή κατάχρηση. γ)Οι διαδικασίες ασφαλείας πρέπει να είναι επαρκώς ορισμένες ώστε να διασφαλιοτεί η παγκόσμια χρήση τους και η περιαγωγή μεταξύ διαφορετικών δικτύων εξυπηρέτησης. δ)Οι διαδικασίες και οι μηχανισμοί ασφαλείας πρέπει να μπορούν να επεκταθούν ή να αναθεωρηθούν ανάλογα με τις καινούριες απαιτήσεις που θα προκύψουν στο μέλλον. 2.Ένα δίκτυο κινητών επικοινωνιών τρίτης γενιάς πρέπει να χαρακτηρίζεται από όλες τις τεχνικές ασφαλείας που προστέθηκαν σε σχέση με τα δίκτυα κινητών επικοινωνιών δεύτερης γενιάς δηλαδή: πιστοποίηση της ταυτότητας του δικτύου και από τον συνδρομητή ώστε να αποκλείονται έτσι τις επιθέσεις «ψεύτικου σταθμού βάσης», αύξηση του μήκους των κλειδιών πιστοποίησης και κρυπτογράφησης με αποτέλεσμα τη δημιουργία ισχυρότερων αλγόριθμων, εισαγωγή μηχανισμών ασφαλείας τόσο μέσα στο δίκτυο όσο και μεταξύ των δικτύων και τέλος, προστασία των διασυνδέσεων μεταξύ Σταθμού Βάσης και Ελεγκτή. Σε ένα δίκτυο κινητών επικοινωνιών τρίτης γενιάς οι διαδικασίες ασφαλείας πρέπει να αντιμετωπίζονται με ενιαίο τρόπο. 3.Περιπτώσεις απειλών του συστήματος ασφαλείας ενός δικτύου κινητών επικοινωνιών τρίτης γενιάς: α)Επιθέσεις στην κάρτα USIM β)Επίθεση στο αλγόριθμο f8 γ)Επίθεση στο αλγόριθμο f9 δ)Επίθεση στην σηματοδοσία και στην διαδικασία επανασυγχρονισμού ε)Επίθεση στις διαδικασίες που χρησιμοποιούνται για την πιστοποίηση και τη διευθέτησης κλειδιών ζ)Επίθεση στους διαδοχικούς αριθμούς (SQN) οι οποίοι εξασφαλίζουν στο συνδρομητή ότι τα δεδομένα πιστοποίησης δεν έχουν ξαναχρησιμοποιηθεί. Σελ. 386,722 Τεύχος Σελ. 4.Σε ένα δίκτυο κινητών επικοινωνιών με μικτά τμήματα δεύτερης και τρίτης γενιάς, θα εφαρμοστεί η διαδικασία Πιοτοποίησης και Διευθέτησης Κλειδιών δεύτερης γενιάς αν ένα τουλάχιστον τμήμα, εξαιρουμένου του Υποσυστήματος Σταθμού Βάσης, είναι δεύτερης γενιάς. Αντίθετα για να πραγματοποιηθεί η διαδικασία Πιστοποίησης και Διευθέτησης Κλειδιών τρίτης γενιάς θα πρέπει όλα τα τμήματα, εξαιρουμένου του Υποσυστήματος Σταθμού Βάσης, να είναι τρίτης γενιάς. 5.Οι πάροχοι κινητών τηλεπικοινωνιακών υπηρεσιών 3ης γενιάς υποχρεούνται να ενημερώνουν τους συνδρομητές τους για την αλληλεπίδραση μεταξύ καρτών SIM, USIM και κινητών συσκευών με αποτέλεσμα την ενδεχόμενη έλλειψη ασφαλείας στις επικοινωνίες τους. Άρθρο 9 Προστασία δικτύων κινητών επικοινωνιών 1.Η ασφάλεια δικτύων επικοινωνίας περιλαμβάνει: α) τις απειλές που οφείλονται στην εμπεριεχόμενη αξιοπιστία του ίδιου του δικτύου κινητών επικοινωνιών, και β) την ευαισθησία του στις απειλές από κακόβουλες πράξεις. Η ΑΔΑΕ αναγνωρίζει ότι η πηγή απειλής μπορεί να προέλθει από ένα άλλο διασυνδεόμενο δίκτυο τηλεπικοινωνιών (σταθερό, ασύρματο) και αυτό είναι εφικτό για το λόγο ότι η σηματοδοσία στο σταθερό τηλεφωνικό δίκτυο δεν είναι κρυτπογραφημένη. Για αυτό το λόγο η πολιτική ασφάλειας των παρόχων πρέπει να επιδιώκει να εντοπίζει τα σημεία που πρέπει να δοθεί ιδιαίτερη προσοχή. 22.ΔΑ.β.5 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 2.Απαιτείται να λαμβάνονται τα απαραίτητα μέτρα για τη σωστή χωροθέτηση του τηλεπικοινωνιακού εξοπλισμού του παρόχου, την προστασία των γραμμών μεταφοράς του δικτύου καθώς και όλων των στοιχείων του δικτύου, συμπεριλαμβανομένων των ιστών των κεραιών, ώστε να εξασφαλίζονται έναντι κακοβούλων επιθέσεων και έναντι άλλων μορφών φυσικών παρεμβάσεων. 3.Τα σημεία εισόδου από άλλα τηλεπικοινωνιακά δίκτυα πρέπει να ελέγχονται επισταμένως. 4.Πρέπει να λαμβάνονται όλα τα απαραίτητα μέτρα προστασίας για τα ευάλωτα σημεία του δικτύου που αναφέρονται στο άρθρο 7 του παρόντος.
Επεξήγηση AI βάσει του επίσημου κειμένου του νόμου. Ενδεικτική, δεν υποκαθιστά νομική συμβουλή.