📄 Κείμενο νόμου
7. AΠΟΦΑΣΗ ΑΡΧΗΣ ΔΙΑΣΦΑΛΙΣΗΣ ΑΠΟΡΡΗΤΟΥ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΑΕ) Αριθ. 631α της 12 Νοεμ. 2004/26 Ιαν. 2005 (ΦΕΚ Β΄ 87) Κανονισμός για τη Διασφάλιση Απορρήτου κατά την παροχή Τηλεπικοινωνιακών Υπηρεσιών μέσω Ασυρμάτων Δικτύων. Έχοντας υπόψη: α.To Ν. 3115/27.2.2003 άρθρο 1 παραγρ. 1. β.To Ν. 3115/27.2.2003, άρθρο 6παραγρ. 1. γ.'Οτι εκ της παρούσας Αποφάσεως δεν προκύπτει δαπάνη για το Δημόσιο. γ.Τη σχετική εισήγηση της Υπηρεσίας, αποφάσισε: Κατά τη συνεδρίασή της την 10η Νοεμβρίου 2004, την έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση Απορρήτου κατά την Παροχή Τηλεπικοινωνιακών Υπηρεσιών μέσω Ασυρμάτων Δικτύων. ΚΕΦΑΛΑΙΟ I ΣΚΟΠΟΣ-ΟΡΙΣΜΟΙ Άρθρο 1 Σκοπός-Πεδίο Εφαρμογής Σκοπόςτου παρόντος Κανονισμού είναι: 1.Η θέσπιση των υποχρεώσεων των φορέων παροχής τηλεπικοινωνιακών υπηρεσιών μέσω ασυρμάτων δικτύων για τη διασφάλιση του απορρήτου αυτών στα πλαίσια της σχετικής Νομοθεσίας (Ν. 2225/1994 «Περί προστασίας της ελευθερίας της ανταπόκρισης και επικοινωνίας και άλλες διατάξεις» και Ν. 3115/2003 «Περί Διασφάλισης του Απορρήτου των Επικοινωνιών»). 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 2.Η παρουσίαση βασικών χαρακτηριστικών ασφαλείας τωντεχνολογιών ασυρμάτων δικτύων. 3.Ο καθορισμός των διαδικασιών ελεγχου στους εν λόγω φορείς σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσειςτους. Στις διατάξεις του παρόντος Κανονισμού εμπίπτουν όλοι οι πάροχοι τηλεπικοινωνιακών υπηρεσιών μέσω ασυρμάτων δικτύων. Άρθρο 10 Προστασία Δικτύων Ασυρμάτων Επικοινωνιών 1.Η ασφάλεια δικτύων ασυρμάτων επικοινωνιών περιλαμβάνει: α) τις απειλές που οφείλονται στην εμπεριεχόμενη αξιοπιστία του ίδιου του δικτύου ασυρμάτων επικοινωνιών και β) την ευαισθησία του στις απειλές από κακόβουλες πράξεις. Η απειλή μπορεί να προέλθει και από άλλο διασυνδεόμενο δίκτυο τηλεπικοινωνιών (σταθερών, κινητών) στο δίκτυο ασύρματων επικοινωνιών για το λόγο ότι η σηματοδοσία στο σταθερό τηλεφωνικό δίκτυο δεν είναι κρυπτογραφημένη. Η πολιτική ασφάλειας των παρόχων πρέπει να επιδιώκει να εντοπίζει τα σημεία που πρέπει να δοθεί ιδιαίτερη προσοχή. 2.Ο πάροχος οφείλει να λαμβάνει τα απαραίτητα μέτρα για την ασφαλή χωροθέτηση του τηλεπικοινωνιακού εξοπλισμού του, την προστασία των γραμμών μεταφοράς καθώς και όλων των δικτυακών στοιχείων, συμπεριλαμβανομένων των κεραιών, ώστε να εξασφαλίζονται έναντι κακόβουλων επιθέσεων και έναντι άλλων μορφών φυσικών παρεμβάσεων. 3.Τα σημεία εισόδου από άλλα τηλεπικοινωνιακά δίκτυα πρέπει να ελέγχονται και ο αριθμός τους να είναι ο ενδεδειγμένος. 4.Πρέπει να λαμβάνονται όλα τα απαραίτητα μέτρα προστασίας για τα ευάλωτα σημεία του δικτύου που αναφέρονται στο άρθρο 7 του παρόντος. 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) Άρθρο 11 Προστασία Επεξεργασίας των Δεδομένων Επικοινωνίας Οι τηλεπικοινωνιακοί πάροχοι ασυρμάτων τηλεπικοινωνιακών υπηρεσιών οφείλουν να εφαρμόζουν στο τμήμα της πολιτικής τους τις διατάξεις της κείμενης νομοθεσίας για την προστασία της επεξεργασίας των δεδομένων Επικοινωνίας. Άρθρο 12 Ασφάλεια σε σχέση με τους Χρήστες Παρόχου 1.Οι χρήστες παρόχου οφείλουν να συμμορφώνονται με τις διατάξεις της νομοθεσίας περί προστασίας του απορρήτου και ειδικότερα: α)Απαγορεύεται να αποκαλύπτουν πληροφορίες ή οποιαδήποτε στοιχεία που συνδέονται με: i) τα περιεχόμενα ή τα στοιχεία της επικοινωνίας που πραγματοποιείται μέσω παρόχου υπηρεσιών επικοινωνιών ή ii) τις υπηρεσίες επικοινωνιών που παρέχονται ή πρόκειται να παρασχεθούν σε ένα άλλο πρόσωπο μέσω ενός παρόχου υπηρεσιών επικοινωνιών ή iii) τα δεδομένα επικοινωνίας και υποπίπτουν στην αντίληψη ή στην κατοχή του, ως αποτέλεσμα της φύσης της εργασίας του. β)Οι χρήστες παρόχου που διαχειρίζονται κλήσεις έκτακτης ανάγκης απαγορεύεται να αποκαλύπτουν πληροφορίες ή οποιαδήποτε στοιχεία συνδέονται με: i) τα περιεχόμενα ή την ουσία της επικοινωνίας που πραγματοποιείται μέσω του τηλεπικοινωνιακού παρόχου ή ii) τα δεδομένα Επικοινωνίας (όπως μη ανακοινώσιμες συνδέσεις και διευθύνσεις) που υποπίπτουν στην αντίληψη ή στην κατοχή τους, ως αποτέλεσμα της φύσης της εργασίας τους. 2.Οι εξαιρέσεις των προηγούμενων γενικών κανόνων θα πρέπει να περιγράφονται με σαφήνεια στην πολιτική ασφάλειας του τηλεπικοινωνιακού παρόχου. Άρθρο 13 Πολιτική Πρόσβασης 1.Η Πολιτική Πρόσβασης καθορίζει το επίπεδο πρόσβασης χρηστών παρόχου και διεργασιών λογισμικού σε καθένα από τα συστήματα υλικού και λογισμικού από τα οποία αποτελείται ο εξοπλισμός του παρόχου για την παροχή των ασυρμάτων τηλεπικοινωνιακών υπηρεσιών. 2.Η Πολιτική Πρόσβασης αποτελεί αναπόσπαστο τμήμα της ΠΔΑΑΤΥ. 3.Ο πάροχος οφείλει να διαθέτει και να εφαρμόζει πολιτική Πρόσβασης για τα συστήματα τα οποία αναφέρονται σε εξωτερικές συνδέσεις, επικοινωνίες φωνής και δεδομένων, τηλεπικοινωνιακές συσκευές και προγράμματα λογισμικού. 4.Η Πολιτική Πρόσβασης περιγράφει για κάθε σύστημα, με τρόπο λεπτομερή και σαφή, τουλάχιστον τις ακόλουθεςδιαδικασίες: (α)Διαδικασίες προσθήκης νέων χρηστών και χρηστών παρόχου στο συγκεκριμένο δίκτυο ασυρμάτων επικοινωνιών. (β)Διαδικασίες εξουσιοδότησης σχετικά με την προσθήκη, διαγραφή και αλλαγή των επιπέδων πρόσβασης των χρηστών παρόχου σε τηλεπικοινωνιακές υπηρεσίες του εν λόγω συστήματος. (γ)Διαδικασίες ταυτοποίησης χρηστών. (δ)Διαδικασίες ελεγχου των παραπάνω διαδικασιών και διαχείρισης του επιπέδου πρόσβασης που παραχωρείται στους χρήστες παρόχου. (ε)Διαδικασίες πρόσβασης των χρηστών παρόχου των ασυρμάτωντηλεπικοινωνιακών υπηρεσιών σε συστήματα που διατηρούν δεδομένα κίνησης και θέσης χρηστών. (στ)Σε περίπτωση που χρησιμοποιείται κρυπτογράφηση, η Πολιτική Πρόσβασης θα πρέπει να περιέχει τις διαδικασίες πρόσβασης των χρηστών παρόχου σε συστήματα κρυπτογράφησης/αποκρυπτογράφησης καθώς και σε διαδικασίες σχετικά με την διαχείριση, διανομή, εισαγωγή και αρχειοθέτηση των κλειδιών κρυπτογράφησης. Οι πληροφορίες αυτές θα αναφέρονται σε καταλλήλως διαβαθμισμένο παράρτημα των εγγράφων που περιέχουν την Πολιτική Πρόσβασης. Άρθρο 14 Πολιτική Αποδεκτής Χρήσης 1.Η Πολιτική Αποδεκτής Χρήσης περιγράφει τις επιτρεπόμενες και μη επιτρεπόμενες χρήσεις και δραστηριότητες των χρηστών και χρηστών παρόχου των συστημάτων μετάδοσης του δικτύου ασυρμάτων επικοινωνιών ενόςπαρόχου. 2.Η Πολιτική Αποδεκτής Χρήσης αποτελεί αναπόσπαστο τμήμα της ΠΔΑΑΤΥ. 3.Σκοπός της είναι να διασφαλίσει ότι οι χρήστες και οι χρήστες παρόχου δεν θα εκμεταλλευτούν την πρόσβαση που τους παρέχεται σύμφωνα με την Πολιτική Πρόσβασης σε παντός είδους τηλεπικοινωνιακά δίκτυα προκειμένου να προβούν σε ενέργειες που παραβιάζουν οποιονδήποτε νόμο του κράτους ή σχετικό κανονισμό. 4.Η Πολιτική Αποδεκτής Χρήσης πρέπει να είναι προσαρμοσμένη στην κατηγορία χρηστών στην οποία απευθύνεται (χρηστών και χρηστών παρόχου) και να είναι σύμφωνη με την Πολιτική Πρόσβασης για κάθε κατηγορία χρηστών. (Μετά τη σελ. 386,742) Σελ. 386,743 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.7 5.Η Πολιτική Αποδεκτής Χρήσης οφείλει να περιλαμβάνει, με όσο το δυνατόν πιο λεπτομερή και κατανοητό τρόπο ώστε να αποφεύγονται οι παρερμηνείες, το ακόλουθο ελάχιστο περιεχόμενο: (α)Δικαιώματα χρήστη και χρήστη παρόχου. Σε αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων συγκεκριμένα παραδείγματα αποδεκτής χρήσης των συστημάτων στα οποία ο χρήστης αποκτά πρόσβαση βάσει της Πολιτικής Πρόσβασης. (β)Υποχρεώσεις χρήστη και χρήστη παρόχου. Σε αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων συγκεκριμένα παραδείγματα μη αποδεκτής χρήσης των συστημάτων στα οποία ο χρήστης αποκτά πρόσβαση βάσειτης Πολιτικής Πρόσβασης, καθώς και συνέπειες μη συμμόρφωσης με αυτές τις υποχρεώσεις. (γ)Δικαιώματα του παρόχου τηλεπικοινωνιακών υπηρεσιών μέσω ασύρματων δικτύων. (δ)Υποχρεώσειςτου παρόχου τηλεπικοινωνιακών υπηρεσιών μέσω ασυρμάτων δικτύων. 6.Επιπλέον στην ενότητα που αναφέρεται στις υποχρεώσεις των χρηστών, η Πολιτική Αποδεκτής Χρήσης οφείλει να περιλαμβάνει τις παρακάτω διατάξεις οι οποίες σχετίζονται με την ασφάλεια του συστήματος: (α)Οι χρήστες οφείλουν να λαμβάνουν όλα τα ενδεικνυόμενα μέτρα για την διασφάλιση του απορρήτου επικοινωνιών τους. (β)Οι χρήστες οφείλουν να ενημερώνουν αμέσως τους υπευθύνους του παρόχου αν υποπέσει στην αντίληψή τους οποιοδήποτε κενό ασφάλειας συστήματος που θέτει σε κίνδυνο το απόρρητο επικοινωνιών των ιδίων ή άλλων χρηστών. (γ)Οι χρήστες οφείλουν να αποκτούν πρόσβαση αποκλειστικά και μόνο σε δεδομένα κίνησης ή θέσης τα οποία αναφέρονται στους ίδιους ή είναι δημοσίως ανακοινώσιμα ή για τα οποία τους έχει δοθεί πρόσβαση από την Πολιτική Πρόσβασης. (δ)Οι χρήστες απαγορεύεται να επιχειρούν να εκμεταλλευτούν πιθανά κενά ασφάλειας των συστημάτων του παρόχου προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες άλλων χρηστών, να διαταράξουν την ομαλή λειτουργία των δικτύων, να εκτελέσουν κακόβουλο λογισμικό και γενικά να υποβαθμίσουν το επίπεδο ασφάλειας του συστήματος. 7.Ειδικά σε σχέση με την ασφάλεια του τηλεπικοινωνιακού συστήματος, ο πάροχος οφείλει να συμμορφώνεται με τις διατάξεις του Κεφαλαίου III του παρόντος Κανονισμού. Σελ. 386,744 Τεύχος Σελ. 8.Ο πάροχος οφείλει να δίνει στο χρήστη πρόσβαση στα συστήματά του μόνο εφόσον ο χρήστης έχει λάβει γνώση και ακολούθως έχει αποδεχθεί την Πολιτική Αποδεκτής Χρήσης. To γεγονός αυτό αποδεικνύεται είτε με έγγραφη δήλωση του χρήστη η οποία φέρει την πρωτότυπη υπογραφή του ή εφόσον ο χρήστης έχει συμπληρώσει το αντίστοιχο πεδίο σε σχετική φόρμα αποδοχής στην περίπτωση που η Πολιτική Αποδεκτής Χρήσης παρουσιάζεται ηλεκτρονικά. ΚΕΦΑΛΑΙΟ IV ΥΠΟΧΡΕΩΣΕΙΣ ΦΟΡΕΩΝ, ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ Άρθρο 15 Υποχρεώσεις Παρόχων αναφορικά με την Πολιτική Διασφάλισης του Απορρήτου των Τηλεπικοινωνιακών Υπηρεσιών μέσω Ασυρμάτων Δικτύων 1.Όλοι οι τηλεπικοινωνιακοί πάροχοι υποχρεούνται: (α)Να διαθέτουν ανά πάσα στιγμή καθορισμένη πολιτική για τη διασφάλιση του απορρήτου τηλεπικοινωνιακών υπηρεσιών παρεχομένων από δημόσια τηλεπικοινωνιακά δίκτυα ασύρματων επικοινωνιών. (β)Να εφαρμόζουντην ενλόγω πολιτική. (γ)Να ενημερώσουν σχετικά ως προςτην εφαρμοζόμενη πολιτική την ΑΔΑΕ εντός έξι μηνών από την δημοσίευση του παρόντος. (δ)Να εφαρμόζουν την εγκριθείσα από την ΑΔΑΕ πολιτική εντός ενός έτους από την έγκρισή της. 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 2.Κάθε τηλεπικοινωνιακός πάροχος οφείλει να προβλέπει στο οργανόγραμμά του ξεχωριστή διοικητική οντότητα η οποία θα είναι επιφορτισμένη με την κατάρτιση και την εφαρμογή της ΠΔΑΑΤΥ με επικεφαλής κατάλληλα καταρτισμένο στέλεχός του που θα φέρει τον τίτλο του Υπευθύνου Ασφαλείας. 3.Για την αποτελεσματική εφαρμογή της Πολιτικής Πρόσβασης ο κάθε τηλεπικοινωνιακός πάροχος οφείλει να ορίζει τουλάχιστον: (α)Έναν Υπεύθυνο Πρόσβασης, ο οποίος θα καθορίζει το είδος της πρόσβασης των χρηστών στα συστήματα. (β)Έναν Υπεύθυνο Συστήματος, ο οποίος θα υλοποιεί τις αποφάσειςτου Υπευθύνου Πρόσβασης. (γ)Έναν Υπεύθυνο Αντιγράφων Ασφαλείας, ο οποίος πάντα σε συνεννόηση με τον Υπεύθυνο Πρόσβασης θα καθορίζει ποιός έχει πρόσβαση στα αντίγραφα ασφάλειας καθώς και κάθε πότε θα λαμβάνονται αντίγραφα ασφάλειας και για ποια δεδομένα. 4.Κάθε τηλεπικοινωνιακός πάροχος οφείλει να προβαίνει σε τακτικές επισκοπήσεις και αναθεωρήσεις της πολιτικής διασφάλισης του απορρήτου, είτε αυτόβουλα (μετά από έγκριση της ΑΔΑΕ σε περίπτωση αναθεώρησης) είτε ύστερα από σχετική εντολή της ΑΔΑΕ που μπορεί να προκύψει από πιθανή διαδικασία ελέγχου ή έκδοση σχετικής οδηγίας. 5.Σε περίπτωση παραβίασης (ή ιδιαίτερου κινδύνου παραβίασης) της πολιτικής προστασίας του απορρήτου ο πάροχος οφείλει να ενημερώνει άμεσα τους συνδρομητές σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και τις συνέπειες αυτών (συμπεριλαμβανομένου του πιθανού κόστους) και να παρέχει στοιχεία για την αποτροπή ή αντιμετώπισή τους. 6.Σε περίπτωση παραβίασης (ή ιδιαίτερου κινδύνου παραβίασης) της πολιτικής προστασίας του απορρήτου που δεν είναι δυνατόν να αντιμετωπιστεί με τα τρέχοντα μέσα που διαθέτει ο τηλεπικοινωνιακό πάροχος, ο πάροχος οφείλει να ενημερώνει άμεσα τους συνδρομητές σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και τις συνέπειες αυτών (συμπεριλαμβανομένου του πιθανού κόστους). 7.Ο πάροχος οφείλει να ορίζει συνέπειες γιατη μη συμμόρφωση των χρηστών παρόχου με τα προβλεπόμενα από την ΠΔΑAΤΥ (συμπεριλαμβανομένων των Πολιτικών Πρόσβασης και Αποδεκτής χρήσης). Άρθρο 16 Διαδικασία Ελέγχου απότην ΑΔΑΕ-Κυρώσεις 1.Η ΑΔΑΕ διενεργεί έκτακτους ελεγχους σε περίπτωση δημόσιων καταγγελιών ή έγγραφων καταγγελιών εκ μέρους των χρηστών. Εφόσον πρόκειται για δημόσιες καταγγελίες, ακολουθείται η διαδικασία που προβλέπεται για τους τακτικούς ελέγχους, ενώ στην περίπτωση εμπιστευτικών έγγραφων καταγγελιών εκ μέρους χρηστών, ο έλεγχος μπορεί κατά την κρίση της ΑΔΑΕ να γίνει αιφνιδιαστικά. 2.Η ΑΔΑΕ σε τακτά χρονικά διαστήματα διενεργεί έλεγχο σε κάθε πάροχο που εμπίπτει στις διατάξεις του παρόντος. Η συχνότητα των ελέγχων θα καθοριστεί από την ΑΔΑΕ με μεταγενέστερη Απόφασή της. 3.Η διαδικασία ελέγχου διενεργείται από τις αρμόδιες υπηρεσίες της ΑΔΑΕ ή από ειδικούς που τελούν υπό την άμεση επίβλεψη της ΑΔΑΕ με βάση τη διαδικασία που περιγράφεται στο Παράρτημα Α του παρόντος Κανονισμού. 4.Κατά την διάρκεια του ελέγχου η ΑΔΑΕ καταγράφει αναλυτικά τις ενέργειες σε ειδικό έντυπο με τίτλο «Έκθεση Διενέργειας Ελέγχου σε Πάροχο Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών αναφορικά με την Πολιτική Ασφάλειας και τη Διασφάλιση του Απορρήτου». Τα ελάχιστα απαραίτητα στοιχείατου ενλόγω εντύπου παρατίθενται στο Παράρτημα Β του παρόντος Κανονισμού. 5.Η ομάδα ελέγχου κοινοποιεί το πόρισμα της στην ολομέλεια της ΑΔΑΕ. Η Ολομέλεια της ΑΔΑΕ αξιολογείτα ευρήματα του ελέγχου και είτε εγκρίνει τις ενέργειες που προβλέπονται στην εκάστοτε πολιτική ασφάλειας του παρόχου που έχει εγκριθεί από την ΑΔΑΕ είτε επιβάλλει κυρώσεις εφόσον δεν έχουν ληφθείτα προσήκοντα μέτρα. 6.Ως προς τη διαδικασία και τις κυρώσεις της παραγράφου 1, ισχύουν οι διατάξεις του Νόμου 3115, άρθρο 11 και άρθρο 6, παράγραφος 4, καθώς και τα προβλεπόμενα στον εσωτερικό κανονισμό της ΑΔΑΕ (ΦΕΚ 1642/Β/ 7.11.2003). Άρθρο 17 Άσκηση Εποπτείας 1.Κάθε πάροχος ασύρματων τηλεπικοινωνιακών υπηρεσιών στο τέλος του ημερολογιακού έτους υποχρεούται να υποβάλλει στην ΑΔΑΕ ετήσια έκθεση με στοιχεία που αφορούν στην ασφάλεια των ασύρματων επικοινωνιών και τη διασφάλιση του απορρήτου. (Μετά τη σελ. 386,744) Σελ. 386,745 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.7 2.To ελάχιστο περιεχόμενο της ετήσιας έκθεσης ορίζεται ως εξής: (α)Περιστατικά που απείλησαν την ασφάλεια του παρόχου και τη διασφάλιση του απορρήτου καθώς και τυχόν βλάβες που υπέστη ο πάροχος και οι χρήστες του εξαιτίας αυτών. (β)Μέτρα που ελήφθησαν για την αντιμετώπιση των ως άνω περιστατικών. 3.Η ΑΔΑΕ με Απόφασή της δύναται να μεταβάλλει το ελάχιστο περιεχόμενο της ετήσιας έκθεσης. Η ΑΔΑΕ δύναται να ζητήσει εκτάκτως από τους φορείς οποιεσδήποτε πληροφορίες θεωρεί αναγκαίες στα πλαίσια των αρμοδιοτήτων της για την ασφάλεια των ασύρματων επικοινωνιών και τη διασφάλιση του απορρήτου. Άρθρο 18 Προστασία Επεξεργασίας Αρχείων Σε περιπτώσεις παραβίασης των διατάξεων προστασίας του απορρήτου των επικοινωνιών, οι οποίες περιλαμβάνουν και επεξεργασία αρχείων που αφορούν την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η ΑΔΑΕ θα την ενημερώνει σχετικά προκειμένου να επιλαμβάνεται στο πλαίσιο των δικών της αρμοδιοτήτων. ΚΕΦΑΛΑΙΟ V ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 2 Ορισμοί Για τις ανάγκες του παρόντος Κανονισμού χρησιμοποιούνται οι παρακάτω ορισμοί. Ακεραιότητα: Η επιβεβαίωση ότι τα δεδομένα τα οποία έχουν σταλεί, έχουν παραληφθεί ή έχουν αποθηκευθεί είναι πλήρη και αμετάβλητα. Αντίγραφα ασφάλειας: Τα αντίγραφα των ηλεκτρονικών αρχείων πληροφοριών που αφορούν σε δεδομένα Επικοινωνίας και χρησιμοποιούνται σε περιπτώσεις καταστροφής των πρωτευόντων αρχείων για την ανάκτησή τους. Απειλή: Η εν δυνάμει παραβίαση της ασφάλειας ενός συστήματος. Αυθεντικότητα: Η επιβεβαίωση της εγκυρότητας της ταυτότητας. Δεδομένα θέσης: Όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία στο τηλεπικοινωνιακό δίκτυο υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό τηλεπικοινωνιακής υπηρεσίας. Δεδομένα κίνησης: Όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία για την αποκατάσταση επικοινωνίας μέσω του τηλεπικοινωνιακού δικτύου ή για την τιμολόγησή της. Πιστοποιημένες συσκευές: Οι συσκευές που έχουν πιστοποιηθεί στο παρελθόν, και για τις οποίες έχει δημιουργηθεί και αποθηκευθεί ένα Κλειδί Σύνδεσης. Άγνωστες συσκευές. Συσκευές για τις οποίες δεν υπάρχουν πληροφορίες ασφαλείας. Αντιμετωπίζονται ως μη πιστοποιημένες και ανάλογα με τις πληροφορίες που θα δεχτεί το σύστημα τις κατατάσσει στην κατηγορία των πιστοποιημένων ή μη συσκευών. (έμπιστες-μη έμπιστες). Μη έμπιστες συσκευές. Συσκευές που δεν έχουν πιστοποιηθεί στο παρελθόν αλλά, έχει δημιουργηθεί και αποθηκευτεί ένα Κλειδί Σύνδεσης γι αυτές. Έλεγχος πρόσβασης: Η πρόληψη μη εξουσιοδοτημένης χρήσης ενός πόρου, συμπεριλαμβανομένης της πρόληψης της χρήσης του πόρου με μη εξουσιοδοτημένο τρόπο. Εμπιστευτικότητα: Η προστασία των επικοινωνιών ή των αποθηκευμένων δεδομένων από την υποκλοπή και την ανάγνωση από μη εξουσιοδοτημένα άτομα. Εξουσιοδότηση: Η διαδικασία χορήγησης δικαιώματος πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με βάση την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγείται από την οντότητα που ελέγχει τον πόρο για τον οποίο ζητείται η πρόσβαση. Επίθεση: Οι δραστηριότητες που αποσκοπούν στην παράκαμψη ή την εκμετάλλευση των ατελειών των μηχανισμών ασφάλειας ενός συστήματος. Διακρίνονται σε άμεσες (εκμετάλλευση ατελειών αλγορίθμων, αρχών και ιδιοτήτωντου μηχανισμού ασφάλειας) και έμμεσες επιθέσεις (υποχρέωση του συστήματος να χρησιμοποιήσει το μηχανισμό ασφάλειας με λανθασμένο τρόπο, παράκαμψη μηχανισμών). Επικοινωνία: Κάθε είδους επικοινωνία μεταξύ ανθρώπων, αντικειμένων, ανθρώπων και αντικειμένων η οποία γίνεται είτε με τη μορφή του προφορικού ή γραπτού λόγου, είτε με τη μορφή μουσικής, ήχων και εικόνων, είτε με τη μορφή σημάτων είτε και με οποιοδήποτε συνδυασμό όλων αυτών των μορφών. Θύρα επικοινωνίας: Ιδεατή θύρα επικοινωνίας μιας συσκευής που επιτρέπει τη διέλευση συγκεκριμένου τύπου πληροφορίας. IEEE 802.11: Δέσμη πρωτοκόλλων που αφορούν τη λειτουργία ασύρματων τοπικών δικτύων, περιγράφοντας τα δύο πρώτα επίπεδα του OSI, δηλαδή το φυσικό επίπεδο και το επίπεδο σύνδεσης δεδομένων. IEEE 802.1Χ: Πρωτόκολλο που επιτρέπει πιστοποίηση μέσω θυρών επικοινωνίας σε ασύρματα δίκτυα. Κλειδί σύνδεσης: To κλειδί σύνδεσης είναι ένας τυχαίος αριθμός. Ο χρόνος ζωής του εξαρτάται από το εάν είναι «ημιμόνιμο» ή «προσωρινό» κλειδί. Ένα προσωρινό κλειδί διαρκεί μόνο μέχρι να τερματιστεί η τρέχουσα σύνδεση και δεν μπορεί να ξαναχρησιμοποιηθεί στη συνέχεια. Προοτασία του απορρήτου: Η απαγόρευση της ακρόασης, της παγίδευσης, της αποθήκευσης, της επεξεργασίας, της ανακοίνωσης, της δημοσιοποίησης ή άλλου τύπου υποκλοπής ή παρακολούθησης της τηλεπικοινωνίας και των δεδομένων Επικοινωνίας από άλλα πρόσωπα, χωρίς την συγκατάθεσή τους, εξαιρουμένων των νόμιμα εξουσιοδοτημένων. Πρωτόκολλο Εκτεταμένης Πιστοποίησης (ΕΑΡ): Πρωτόκολλο που παρέχει τα απαραίτητα μηνύματα για εκτεταμένη πιστοποίηση μεταξύ τερματικής συσκευής και σημείου πρόσβασης. (Μετά τη σελ. 386,736) Σελ. 386,737 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.7 Πρωτόκολλο ισοδύναμης ενσύρματης ιδιωτικότητας (WEP): Πρωτόκολλο που περιέχει τρεις διαδικασίες ασφάλειας, την κρυπτογράφηση των δεδομένων, την προστασία της ακεραιότητας των δεδομένων και την πιστοποίηση της ταυτότητας του σταθμού. Πρωτόκολλο RADIUS: Πρωτόκολλο που χρησιμοποιείται για την πιστοποίηση του χρήστη μέσω στοιχείων (όνομα και κωδικός πρόσβασης) σε ενσύρματα και ασύρματα δίκτυα. Πρωτόκολλο DIAMETER: Βελτιωμένο πρωτόκολλο, σε σχέση με το RADIUS για την πιστοποίηση του χρήστη μέσω στοιχείων (όνομα και κωδικός πρόσβασης) σε ενσύρματα και ασύρματα δίκτυα. Σταθερές τηλεπικοινωνιακές υπηρεσίες: Οι υπηρεσίες των οποίων η παροχή συνίσταται συνολικά ή εν μέρει στη μετάδοση και δρομολόγηση σημάτων μέσω σταθερών τηλεπικοινωνιακών δικτύων εξαιρουμένων των ραδιοφωνικών και τηλεοπτικών εκπομπών. Συνδρομητής: κάθε φυσικό ή νομικό πρόσωπο που έχει συνάψει σύμβαση με φορέα παροχής διαθέσιμων στο κοινό τηλεπικοινωνιακών υπηρεσιών για την παροχή των υπηρεσιών αυτών. Σταθερή ασύρματη πρόσβαση (ΣΑΠ): Ορίζεται απότην ITU-R ως «ραδιοσυνδέσεις τελικών χρηστών με δίκτυα κορμού». Σημεία πρόσβασης: Οι σταθεροί σταθμοί του δικτύου ασύρματων επικοινωνιών που χρησιμοποιούνται για την ασύρματη επικοινωνία με τα τερματικά του χρήστη. Ταυτότητα: Οι πληροφορίες που προσδιορίζουν τον χρήστη τηλεπικοινωνιακής υπηρεσίας με μοναδικό τρόπο. Τεχνολογία Bluetooth: Η τεχνολογία ασύρματης σύνδεσης δύο συσκευών, χωρίς να είναι απαραίτητη η οπτική επαφή μεταξύ τους. Τηλεπικοινωνία: Η μεταφορά ήχων, σημάτων, εικόνων, δεδομένων, και εν γένει κάθε φύσης πληροφοριών μεταδιδόμενων εν όλω ή εν μέρει μέσω ενσύρματων, ασύρματων, ηλεκτρομαγνητικών, φωτοηλεκτρονικών ή φωτοοπτικώνσυοτημάτων. Τηλεπικοινωνιακός πάροχος: Φυσικό ή νομικό πρόσωπο που παρέχει τηλεπικοινωνιακές υπηρεσίες στο κοινό ή σε δημόσιο τηλεπικοινωνιακό δίκτυο. Όπου οτο κείμενο αναφέρεται ο όρος χωρίς επεξήγηση θα εννοείται ο πάροχος τηλεπικοινωνιακών υπηρεσιών Υπηρεσία κλήσης έκτακτης ανάγκης: Η υπηρεσία λήψης και διαχείρισης κλήσεων έκτακτης ανάγκης που γίνονται προς έναν τηλεφωνικό αριθμό και Σελ. 386,738 Τεύχος Σελ. δρομολογούνται προς ειδικές κρατικές και μη Υπηρεσίες όπως είναι η Αστυνομία, η Πυροσβεστική Υπηρεσία, τα Νοσοκομεία κ.λπ. Χρήστης: Κάθε φυσικό πρόσωπο ή νομική οντότητα που χρησιμοποιεί ή ζητά διαθέσιμη στο κοινό τηλεπικοινωνιακή υπηρεσία. Χρήστης Παρόχου: Κάθε φυσικό πρόσωπο που ανήκει στο προσωπικό ή τουςσυνεργάτεςτου Παρόχου και χρησιμοποιεί τα συστήματα και τις υποδομές του Παρόχου. ΚΕΦΑΛΑΙΟ II ΠΟΛΙΤΙΚΗ ΔΙΑΣΦΑΛΙΣΗΣ ΑΠΟΡΡΗΤΟΥ ΑΣΥΡΜΑΤΩΝ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ Άρθρο 19 Έναρξη Ισχύος 1.Ο παρών Κανονισμός τίθεται σε ισχύ από την ημερομηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως. ΠΑΡΑΡΤΗΜΑ Α Αναλυτική περιγραφή διαδικασίας Ελέγχου Τηλεπικοινωνιακού Παρόχου Ασύρματων Υπηρεσιών Η διαδικασία ελεγχου παρόχου διενεργείται με βάση τα ακόλουθα βήματα: «(α) Η Α.Δ.Α.Ε. με απόφαση της ορίζει ομάδα ελέγχου που αποτελείται από τρία (3) τουλάχιστον άτομα με σκοπό τον έλεγχο συγκεκριμένου παρόχου. Με την ίδια απόφαση καθορίζεται η ειδικότερη σύνθεση της ομάδας ελέγχου». Το εδάφ. α΄ αντικαταστάθηκε ως άνω από την με αριθ. 1699/15 Ιουλ.-6 Αυγ. 2008 (ΦΕΚ Β’ 1561) απόφ. ΑΔΑΕ. Σελ. 386,746 Τεύχος Σελ. (β)Σε χρόνο που αποφασίζει η ομάδα ελέγχου, επικοινωνεί με τον πάροχο και ζητεί να έρθει σε άμεση επικοινωνία με τον υπεύθυνο ασφάλειας όπως αυτός ορίζεται στο κεφάλαιο IV του παρόντος. Τυχόν καθυοτέρηση ή κώλυμα που παρουσιάζεται κατά την προσπάθεια επικοινωνίας με τον υπεύθυνο ασφάλειας καταγράφεται και φέρει τις ανάλογες κυρώσεις. (γ)Ο υπεύθυνος ασφάλειας παραδίδει στην ομάδα ελέγχου πλήρες αντίγραφο της ΠΔΑΑΤΥ και των τυχών συνοδευτικών εγγράφων. Από τα παραδιδόμενα έγγραφα θα πρέπει να προκύπτουν οι ημερομηνίες έκδοσης και έγκρισης των συγκεκριμένων πολιτικών. Τυχόν καθυστέρηση επίδοσης σημειώνεται και φέρει τις ανάλογες κυρώσεις. (δ) Η ομάδα ελέγχου προβαίνει σε αναλυτική εξέταση όλων των σχετικών εγγράφων ώστε να καταγραφούν οι τυχόν ελλείψεις που παρουσιάζονται στην πολιτική του παρόχου. Κατά τη διαδικασία αυτή δύναται να ζητηθεί η συνδρομή του παρόχου έτσι ώστε να διασαφηνιστούν τυχόν ασάφειες και προβλήματα που παρουσιάζονται στην πολιτική προστασίαςτου απορρήτου. (ε)Κατά την διάρκεια του ελεγχου ο πάροχος δεν έχει την δυνατότητα να αντικαταστήσει την πολιτική προστασίας του απορρήτου με νέα ούτε να προβεί σετυχόν διορθώσεις αυτής. (στ)Σε περίπτωση ασαφειών ως προς την πολιτική προστασίας του απορρήτου οι πάροχοι, μετά από σχετική σύσταση της ΑΔΑΕ θα προβαίνουν στις απαραίτητες διορθώσεις στην πολιτική τους. (ζ)Η ομάδα ελέγχου προβαίνει σε αυτοψία των εγκαταστάσεων του παρόχου για να διαπιστώσει σε ποιο βαθμό εφαρμόζονται οι διαδικασίες που προβλέπονται από τα προσκομιθέντα έγγραφα. Η αυτοψία δύναται να περιλαμβάνει και επαφή με το προσωπικό του παρόχου. Η ομάδα ελεγχου καταγράφει αναλυτικά τις ελλείψεις και τα σφάλματα που τυχόν διαπιστωθούν. 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) (η)Ο πάροχος οφείλει να υποβάλει οτην ομάδα ελέγχου οποιοδήποτε στοιχείο θεωρηθεί απαραίτητο από την ομάδα γιατην επιτυχή ολοκλήρωση του ελέγχου. (θ)Τυχόν διαπίστωση έλλειψης συνεργασίας από τον πάροχο ή/και προσπάθειας παραπλάνησης της ομάδας ελεγχου καταγράφεται και φέρει τις ανάλογες κυρώσεις. ΠΑΡΑΡΤΗΜΑ Β Ελάχιστο περιεχόμενο του εντύπου με τίτλο «Έκθεση Διενέργειας Ελέγχου σε Τηλεπικοινωνιακό Πάροχο αναφορικά με την Πολιτική Διασφάλισης του Απορρήτου των Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών» To ως άνω έντυπο θα περιέχει απαραιτήτως τουλάχιστον τα ακόλουθα στοιχεία: (α)Τα στοιχεία της Απόφασης της ΑΔΑΕ με την οποία αποφασίστηκε ο έλεγχος. (β)Τα ονοματεπώνυμα και της ιδιότητες των στελεχών της ΑΔΑΕ που απαρτίζουν την ομάδα ελέγχου καθώς και την ημερομηνία σύστασής της. (γ)To όνομα του υπό έλεγχο παρόχου καθώς και το όνομα του υπευθύνου ασφάλειας του. (δ)To χρόνο που απαιτήθηκε έως ότου να παραδοθεί στην ομάδα ελέγχου η πλήρης πολιτική διασφάλισης απορρήτου του παρόχου. (ε)Ημερολόγιο ενεργειών και ερωτήσεων της ομάδας ελεγχου και καταγραφή της ανταπόκρισης του ελεγχόμενου παρόχου. (στ)To αποτέλεσμα της αυτοψίας για την αποτίμηση της εφαρμογής της Πολιτικής Διασφάλισης της Προστασίας του Απορρήτου με καταγραφή τυχόν ελλείψεων και ασαφειών. (ζ)Τις ημερομηνίες έναρξης και περάτωσης του ελεγχου. (η)Τελικό πόρισμα του ελέγχου και εισήγηση προς την Ολομέλεια της ΑΔΑΕ. Άρθρο 3 Ορισμός-Γενικές Απαιτήσεις και Συστάσεις 1.Πολιτική Διασφάλισης του Απορρήτου των Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών (ΠΔΑΑΤΥ), είναι το σύνολο των κριτηρίων και κανόνων που καθορίζουν τις απαιτήσεις, τις υποχρεώσεις και τα δικαιώματα που διέπουν τη λειτουργία των τηλεπικοινωνιακών παρόχων και των χρηστών των τηλεπικοινωνιακών υπηρεσιών, με σκοπό την προστασία του απορρήτου της τηλεπικοινωνίας μέσω ασυρμάτων δικτύων επικοινωνιών. 2.Η ΠΔΑΑΤΥ θα εκπονείται από τους τηλεπικοινωνιακούς παρόχους διαθέσιμων στο κοινό τηλεπικοινωνιακών υπηρεσιών μέσω ασυρμάτων δικτύων με βάση τις απαιτήσεις και τις υποδείξεις του παρόντος Κανονισμού και θα εφαρμόζεται από αυτούς μετά την έγκρισή της από την ΑΔΑΕ. 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 3.Η ΠΔΑΑΤΥ αποτελείται από επί μέρους πολιτικές όπως είναι η Πολιτική Προστασίας των Δικτύων Ασύρματων Επικοινωνιών, η Πολιτική Επεξεργασίας δεδομένων Επικοινωνίας, η Πολιτική σε σχέση με το Προσωπικό και τους Συνεργάτες των Τηλεπικοινωνιακών Παρόχων, η Πολιτική Πρόσβασης, η Πολιτική Αποδεκτής Χρήσης και η Πολιτική Άρσης του Απορρήτου από τις οποίες απορρέουντα δικαιώματα και οι υποχρεώσεις των εμπλεκομένων στη λειτουργία, τη διαχείριση και τη χρήση των τηλεπικοινωνιακών υπηρεσιών. 4.Η ΠΔΑΑΤΥ για να θεωρείται επαρκής θα πρέπει να διαθέτει τουλάχιστον τα ακόλουθα χαρακτηριστικά: α)Να υλοποιείται μέσω διαδικασιών διαχείρισης συστημάτων, δημοσιοποίησης οδηγιών αποδεκτής χρήσης ή άλλων αντίστοιχων κατάλληλων μεθόδων. β)Οι διαδικασίες, οι οποίες σχετίζονται με την υλοποίηση της πολιτικής, πρέπει να περιλαμβάνουν τουλάχιστον τον προσδιορισμό ταυτότητας, την αυθεντικότητα, την εξουσιοδότηση, τον έλεγχο πρόσβασης, την εμπιστευτικότητα, την ακεραιότητα, την προστασία του απορρήτου, και τον έλεγχο παραβίασης του απορρήτου. γ)Να εφαρμόζεται μέσω εργαλείων ασφάλειας ή/και μέσω διαδικασιών ασφάλειας. δ)Να καθορίζει τα όρια ευθύνης των χρηστών και των χρηστών παρόχου. Επιπλέον οι μηχανισμοί μεταβολής της πολιτικής διασφάλισης του απορρήτου πρέπει να είναι καλά ορισμένοι, περιλαμβάνοντας τη διαδικασία, τους εμπλεκόμενους, καθώς και τους υπεύθυνους προς έγκριση. 5.Επίσης, συνιστάται η ΠΔΑΑΤΥ: α)Να είναι ανεξάρτητη, στο μέτρο που είναι δυνατόν από τεχνικής απόψεως, από συγκεκριμένο εξοπλισμό (υλικό, λογισμικό) και β)Να βασίζεται σε μια ανοικτή αρχιτεκτονική ώστε να καθίσταται βιώσιμη μακροπρόθεσμα. Άρθρο 4 Χάραξη και Στοιχεία Πολιτικής Διασφάλισης Απορρήτου Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών 1.Ένας τηλεπικοινωνιακός πάροχος προκειμένου να χαράξει την πολιτική του μπορεί, χωρίς να υποχρεώνεται ή να περιορίζεται, να ακολουθήσει τα παρακάτω βήματα: α)Να προσδιορίσει τις πληροφορίες που πρέπει να προστατευτούν. β)Να προσδιορίσει τα ευάλωτα σημεία του τηλεπικοινωνιακού δικτύου. γ)Να προσδιορίσει τους κινδύνους και τις απειλές για τα α), β). δ)Να προσδιορίσει τα μέτρα διασφάλισης του απορρήτου στις Ασύρματες τηλεπικοινωνιακές υπηρεσίες. ε)Να καθορίσει τις υποχρεώσεις των υπαλλήλων και συνεργατών του. στ)Να καθορίσει τις δεσμεύσεις και υποχρεώσεις του έναντι των πελατών. και ζ)Να καταρτίσει σχέδιο αναθεώρησης και βελτίωσης της ΠΔΑΑΤΥ κάθε φορά που θα εντοπίζεται νέος κίνδυνος ή αδυναμία ή που θα προκύπτουν νέες τεχνολογικές διευκολύνσεις διαχείρισης ασφάλειας. 2.Κάθε τηλεπικοινωνιακός πάροχος πρέπει, εν ανάγκη σε συνεργασία με τους παρόχους τηλεπικοινωνιακού δικτύου, να τεκμηριώνει με σχέδια την προστασία του απορρήτου για να αντιμετωπίζει προβλήματα που πιθανώς να εμφανισθούν σε έκτακτες περιστάσεις, όπως είναι η άρση του απορρήτου μετά από εντολή δικαστικών ή εισαγγελικών αρχών (Νόμος 2225/1994) και η προβληματική λειτουργία των τηλεπικοινωνιακών ή/και των μηχανογραφικών συστημάτων του ή των συστημάτων των συνεργατών του. Άρθρο 5 Πληροφορίες που πρέπει να προστατεύονται 1.Κάθε πάροχος τηλεπικοινωνιακών υπηρεσιών μέσω ασυρμάτων δικτύων οφείλει να διασφαλίζει και να προστατεύει το απόρρητο των διαφόρων δεδομένων Επικοινωνίας, του περιεχόμενου της επικοινωνίας και εν γένει κάθε πληροφορίας που αφορά τους συνδρομητές του και χρησιμοποιείται για την παροχή της τηλεπικοινωνιακής υπηρεσίας, τη διεκπεραίωση της επικοινωνίας, κ.τ.λ. 2.Σε συγκεκριμένο φυσικό ή νομικό πρόσωπο, που είναι συνδρομητής ενός παρόχου ασύρματων τηλεπικοινωνιακών υπηρεσιών, πρέπει να προστατεύονται τα ακόλουθα στοιχεία εισερχομένων και απερχομένων κλήσεων. α)Χρόνος και διάρκεια επικοινωνίας, β)Εντοπισμός καλούντος ή και καλούμενου χρήστη, γ)Στοιχεία που αφορούν στη χρέωση της επικοινωνίας, δ)Περιεχόμενο επικοινωνίας, ε)Ταυτότητα τερματικής συσκευής. (Μετά τη σελ. 386,738) Σελ. 386,739 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.7 3.Οι πάροχοι ασύρματων τηλεπικοινωνιακών υπηρεσιών θα πρέπει να προσδιορίζουν τους κινδύνους και τις ενδεχόμενες απειλές για τα παραπάνω στοιχεία. Ο πάροχος οφείλει να διασφαλίζει την ασφαλή μετάδοση και αποθήκευση των δεδομένων επικοινωνίας που χρησιμοποιούνται σε ένα δίκτυο ασυρμάτων επικοινωνιών. Οι τηλεπικοινωνιακοί πάροχοι, όπου είναι απαραίτητο, από κοινού με άλλους παρόχους, εξασφαλίζουν ένα επίπεδο ασφάλειας που είναι ικανοποιητικό όσον αφορά την τεχνική ανάπτυξη και λογικό ως προς το κόστος του. Κάθε τηλεπικοινωνιακός πάροχος οφείλει να ενημερώνει τους συνδρομητές του με συγκεκριμένους τρόπους και μέσα της επιλογής του για οποιουσδήποτε ειδικούς κινδύνους σχετικά με την ασφάλεια των υπηρεσιών που παρέχει καθώς και των δυνατοτήτων για την αποτροπή των κινδύνων και του κόστους των μέτρων που συνεπάγονται. Άρθρο 6 Ευάλωτα Σημεία Δικτύου Ασυρμάτων Επικοινωνιών 1.Ευάλωτα σημεία τερματικών συσκευών χρηστών: α)Η ίδια η συσκευή, β)Τα ηλεκτρονικά τους αρχεία των εξερχόμενων ή εισερχόμενων κλήσεων, γ)To αρχείο των καλούντων και καλούμενων αριθμών, δ)Ο τυχόν ενσωματωμένος αυτόματος τηλεφωνητής, ε)Τυχόν μνήμη καταγραφής, στ)Κάρτα Ταυτότητας Συνδρομητή. 2.Ευάλωτα σημεία δικτύου: α)Σημεία πρόσβασης, β)Ραδιοζεύξεις (μεταξύ σημείων πρόσβασης και τερματικών συσκευών), γ)Αλγόριθμοι κρυπτογράφησης, δ)Διακομιστές (servers), ς)Κεντρικοί κατανεμητές παρόχου, ζ)Σημεία διασύνδεσης και μεταγωγής του δικτύου ασύρματων επικοινωνιών με το σταθερό τηλεπικοινωνιακό δίκτυο, η)Οι δρομολογητές κλήσεων όταν υπάρχει εκτροπή των κλήσεων σε εναλλακτικό φορέα παροχής τηλεπικοινωνιακών υπηρεσιών, θ)Η αποκάλυψη κλειδιών που χρησιμοποιούνται για κρυπτογράφηση, ανασφαλές σύστημα χρέωσης ή δολιοφθορά. Σελ. 386,740 Τεύχος Σελ. 3.Ο τηλεπικοινωνιακός πάροχος ασυρμάτων τηλεπικοινωνιακών υπηρεσιών θα πρέπει να ενημερώνει τους χρήστες για τα ευάλωτα σημεία των τερματικών συσκευών και να λαμβάνει όλα τα απαραίτητα μέτρα για την προστασία εκείνων που υπάγονται στην περιοχή ευθύνης του. ΚΕΦΑΛΑΙΟ III ΕΠΙ ΜΕΡΟΥΣ ΠΟΛΙΤΙΚΕΣ ΔΙΑΣΦΑΛΙΣΗΣ ΑΠΟΡΡΗΤΟΥ ΑΣΥΡΜΑΤΩΝ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ Άρθρο 7 Ασφάλεια Δικτύων Ασυρμάτων Επικοινωνιών Τεχνολογίας Bluetooth 1.Υπάρχουν τέσσερα είδη υπηρεσιών σε ότι αφορά την ασφάλεια των ασυρμάτων δικτύων τεχνολογίας Bluetooth: α) Υπηρεσίεςπου απαιτούν εξουσιοδότηση και πιστοποίηση της ταυτότητας. Αυτόματη πρόσβαση παρέχεται μόνο στις πιστοποιημένες συσκευές, ενώ οι υπόλοιπες θα πρέπει πρώτα να εξουσιοδοτηθούν. Η διαδικασία της εξουσιοδότησης πάντα εμπεριέχει την διαδικασία της πιστοποίησης της ταυτότητας, ώστε να διαπιστωθεί αν η απομακρυσμένη συσκευή είναι αυτή που ισχυρίζεται ότι είναι. β) Υπηρεσίες που απαιτούν την πιστοποίηση της ταυτότητας. Πριν αποκτήσει μια συσκευή πρόσβαση στην υπηρεσία θα πρέπει να πιστοποιήσει την ταυτότητά της. γ) Υπηρεσίες που απαιτούν κρυπτογράφηση των δεδομένων. Η σύνδεση θα πρέπει να μεταβεί στην κατάσταση κρυπτογράφησης των δεδομένων πριν εγκριθείη πρόσβαση σε αυτέςτις υπηρεσίες. δ) υπηρεσίες που είναι ανοικτές στις συσκευές. Για την πρόσβαση στις υπηρεσίες αυτές δεν απαιτείται καμιά διαδικασία ασφάλεια προηγουμένως. 22.ΔΑ.β.7 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 2.Στην τεχνολογία Bluetooth πιστοποιείται η ταυτότητα της συσκευής και όχι του χρήστη. 3.Όλες οι διαδικασίες ασφαλείας στην τεχνολογία Bluetooth πραγματοποιούνται από το τμήμα που ονομάζεται διαχειριστής ασφάλειας. Ουσιαστικά ο διαχειριστής ασφάλειας αποφασίζει με βάση τα διάφορα δεδομένα που λαμβάνει ποια πολιτική ασφάλειας θα εφαρμόσει στην επικείμενη σύνδεση. Οι βασικές του λειτουργίες είναι: α) αποθήκευση πληροφοριών σχετικά με την ασφάλεια για όλες τις υπηρεσίες (Βάση Δεδομένων Υπηρε-σιών), β) αποθήκευση πληροφοριών σχετικά με την ασφάλεια για τις γνωστές συσκευές (Βάση Δεδομένων Συσκευών) γ) απάντηση στις αιτήσεις για πρόσβαση από τις υλοποιήσειςτωνπρωτοκόλλων και τις εφαρμογές (παρέχει ή όχι πρόσβαση), δ) εφαρμογή της πιστοποίησης της ταυτότητας και/ή της κρυπτογράφησης των δεδομένων πριν συνδεθεί με την εκάστοτε εφαρμογή, ε) επεξεργασία δεδομένων από μια Εξωτερική Οντότητα Ελέγχου Ασφάλειας, για παράδειγμα από τον χρήστη της συσκευής, για να εγκαθιδρύσει έμπιστες σχέσεις στο επίπεδο της συσκευής και στ) ενεργοποίηση της διαδικασίας αρχικοποίησης μεταξύ δύο συσκευών και της εισαγωγής του Προσωπικού Αριθμού Αναγνώρισης από τον χρήστη. Εναλλακτικά η εισαγωγή του Αριθμού Αναγνώρισης μπορεί να γίνει και από την εφαρμογή που χρησιμοποιείται. 4.Περιπτώσεις απειλών του συστήματος ασφάλειας ενός ασύρματου δικτύου επικοινωνιών τεχνολογίας Bluetooth: α)Επιθέσεις στη γεννήτρια τυχαίων αριθμών. β)Επιθέσεις στον διαχειριστή ασφαλείας. γ)Επίθεση στο αλγόριθμο Ε0. δ)Επίθεση στο αλγόριθμο Ε1. ε)Εντοπισμός θέσης του χρήστη στην ερευνητική κατάσταση λειτουργίας. στ)Παρακολούθηση της συχνότητας λειτουργίας της συσκευής. Άρθρο 8 Ασφάλεια Δικτύων Ασύρματων Επικοινωνιών IEEE 802.11 1.Σε ένα ασύρματο δίκτυο IEEE 802.11 πιοτοποιείται μόνο η ταυτότητα του σταθμού και όχι η ταυτότητα του χρήστη. Πρέπει να έχει δύο συστήματα πιστοποίησης της ταυτότητας του σταθμού: το ανοικτό σύστημα πιστοποίησης, το οποίο αποτελεί την προεπιλεγμένη κατάσταση για την διαδικασία πιστοποίησης και στην ουσία δεν παρέχει πιστοποίηση, και το σύστημα κοινού κλειδιού, το οποίο χρησιμοποιεί το κοινό κλειδί για να πιστοποιήσει την ταυτότητα ενός σταθμού. 2.Σε ένα ασύρματο δίκτυο IEEE 802.11 με τη χρήση του πιστοποιητικού υπηρεσιών συσχετίζονται ένα ή περισσότερα σημεία πρόσβασης και με τη διαίρεση ενός ασύρματου δικτύου σε μικρότερα. Κάθε σημείο πρόσβασης μπορεί να προγραμματιστεί να δέχεται συγκεκριμένα πιστοποιητικά ώστε να υπάρχει πρόσβαση σε ορισμένα τμήματα του δικτύου. Με τον τρόπο αυτό μπορεί να περιοριστεί η πρόσβαση κάποιου σταθμού ή κάποιου χρήστη μόνο στα τμήματα του δικτύου που του είναι απαραίτητα. To πιστοποιητικό υπηρεσιών λειτουργεί ισοδύναμα ως κωδικός πρόσβασης. 3.Συνοπτικά, για την ασφαλή διεξαγωγή της πιστοποίησης: α)Επιβάλλεται τουλάχιστο η χρήση του WEP ως τεχνολογία πιστοποίησης στα ασύρματα δίκτυα IEEE 802.11. β)Δεδομένων των μειονεκτημάτων του WEP και της πλειονότητας των δικτυακών συσκευών που υποοτηρίζουν σήμερα ΕΑΡ / IEEE 802.1Χ, συνιοτάται η χρήση του συνδυασμού των πρωτοκόλλων IEEE 802.1Χ και ΕΑΡ ως τεχνολογία πιστοποίησης οτα ασύρματα δίκτυα IEEE 802.11. 4.Για λόγους ασφαλείας γενικώς έχουν αναπτυχθεί τεχνολογίες, οι οποίες βοηθούν τους χρήστες του δικτύου αφενός να αυξήσουν την ασφάλεια των συνδέσεων που πραγματοποιούν με χρήση του δικτύου και αφετέρου να διατηρήσουν το δικαίωμα της ανωνυμίας των διακινούμενων πληροφοριών που τους αφορούν. Οι μεν πρώτες είναι γνωστές ως τεχνολογίες ασφάλειας πληροφοριών (I η-formation Security Technologies), οι δε δεύτερες ως τεχνολογίες αύξησης απορρήτου (Privacy Enhancing Technologies). 5.Πέρα από τις απαιτήσεις για ασφαλή πιστοποίηση, συνιστάται εφαρμογή αλγορίθμων ελέγχου ακεραιότητας και κρυπτογράφησης δεδομένων. Οι αλγόριθμοι MD5 και RC4 είναι οι πιο δημοφιλείς αλγόριθμοι στην κατηγορία αυτή και εγγυώνται ένα ικανοποιητικό επίπεδο ακεραιότητας και εμπιστευτικότητας της πληροφορίας. 7.Περιπτώσεις απειλών του συστήματος ασφαλείας ενός ασυρμάτου δικτύου της οικογένειας IEEE 802.11: α)Επιθέσεις στα πιοτοποιητικά υπηρεσιών. β)Επιθέσεις στο πρωτόκολλο (WEP). γ)Επιθέσεις στον αλγόριθμο RC4 του WEP. δ)Επιθέσεις στους αλγορίθμους κρυπτογράφησης δεδομένων RC4 και MD5. (Μετά τη σελ. 386,740) Σελ. 386,741 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.7 ε)Επιθέσεις στους αλγόριθμους κυκλικού ελέγχου και ελέγχου πλεονασμού. στ)Επιθέσεις οτα πρωτόκολλα ΕΑΡ / 802.1Χ. ε)Επιθέσεις στα ασύρματα ιδεατά ιδιωτικά δίκτυα (VPN). Άρθρο 9 Ασφάλεια Δικτύων Σταθερής Ασύρματης Πρόσβασης και Δορυφορικών Δικτύων VSAT Επικοινωνιών 1.Τα δορυφορικά Δίκτυα VSAT ή τα δίκτυα σταθερής ασύρματης πρόσβασης (ΣΑΠ) είναι τεχνολογίες πρόσβασης και παροχής τηλεπικοινωνιακών υπηρεσιών υψηλών χωρητικοτήτων και ρυθμών. Οι σημαντικότερες υπηρεσίες είναι τηλεφωνία, μετάδοση δεδομένων, υπηρεσίες διαδικτύου μετάδοση video και τηλεδιασκέψεις (teleconferencing). Ένα δίκτυο VSAT αποτελείται κυρίως από έναν επίγειο δορυφορικό σταθμό υποδομής και έναν αριθμό τερματικών με συγκεκριμένη συνδεσμολογία. Οι σταθμοί VSAT ενδέχεται να είναι μεμονωμένοι ή να αποτελούν μέρος σε ένα ολοκληρωμένο δορυφορικό δίκτυο. Ένα δίκτυο ΣΑΠ είναι συνήθως κυψελωτό, και η κυψέλη χωρίζεται σε 4 τεταρτημόρια, όπου υπάρχει ένας σταθμός βάσης, ο οποίος επικοινωνεί με τους σταθερούς χρήστες LMDS. 2.Οι χρήστες τηλεπικοινωνιακών υπηρεσιών μέσω δικτύου VSAT ή ΣΑΠ έχουν τα παρακάτω δικαιώματα: α) To δικαίωμα στην ασφάλεια και το απόρρητο των επικοινωνιών, β) To δικαίωμα για τη λήψη ή όχι αναλυτικών λογαριασμών, γ) To δικαίωμα στη μη αναγνώριση εισερχόμενης κλήσης, δ) To δικαίωμα στην ενημέρωση για τα δεδομένα, ε) To γενικό δικαίωμα αντίρρησης σε περαιτέρω χρήση των δεδομένων. 3.Η ΑΔΑΕ ελέγχει αν αυτά τα δικαιώματα παραβιάζονται από τους παρόχους των Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών μέσω Δορυφορικών δικτύων VSAT και ΣΑΠ. Οι τηλεπικοινωνιακοί πάροχοι πρέπει να έχουν πάρει Ειδική Άδεια από την ΕΕΤΤ (όσων αφορά τη λειτουργία συγκεκριμένων ραδιοσυχνοτήτων) και Γενική Άδεια (για την παροχή όλων των υπολοίπων υπηρεσιών). Αν οι πάροχοι δορυφορικών υπηρεσιών είναι από άλλη χώρα, πρέπει να είναι έχουν νόμιμο αντιπρόσωπο στην Ελλάδα και να διαθέτουν ακριβώς τις ίδιες άδειες. Και στις δύο περιπτώσεις η ΑΔΑΕ θα διενεργεί ελέγχους σε εγκαταστάσεις και τεχνικό εξοπλισμό χρηστών και δορυφορικών παρόχων. Σελ. 386,742 Τεύχος Σελ.
Επεξήγηση AI βάσει του επίσημου κειμένου του νόμου. Ενδεικτική, δεν υποκαθιστά νομική συμβουλή.