Политика за сигурни комуникации и многофакторно удостоверяване

Политиката за сигурни комуникации и многофакторно удостоверяване (MFA) установява всеобхватни контроли за защита на комуникациите в организацията и потребителския достъп, в съответствие със строги регулаторни и индустриални стандарти. Основната ѝ цел е да гарантира поверителност и цялостност на информацията, предавана по всички комуникационни канали, включително глас, видео, текст и аварийни системи, чрез задължителни усъвършенствани процеси за автентикация в съответствие с NIS2, член 21(2)(j). Приложима за всички служители, външни изпълнители и външни страни, политиката изисква изключително използване на одобрени от организацията и криптирани канали за комуникация за чувствителна или оперативна информация. Тези изисквания се разширяват и към системите за аварийно уведомяване, като гарантират, че дори по време на кризи комуникацията остава защитена, устойчива и налична. Координаторите по реагиране при извънредни ситуации имат пряка роля както в периодичното тестване на тези системи, така и в обучението на персонала за тяхното правилно и сигурно използване. Ключова цел на политиката е налагането на многофакторно удостоверяване (MFA) за целия достъп до мрежата и системите, особено за привилегировани акаунти и отдалечен достъп. Притежателите на привилегировани акаунти трябва да използват отделни уникални удостоверителни данни, които винаги налагат многофакторно удостоверяване (MFA) или непрекъсната автентикация, а всяко повишаване на достъпа е строго времево ограничено и подлежи на мониторинг. Ако технически ограничения възпрепятстват незабавното внедряване на многофакторно удостоверяване (MFA) или шифроване, например ограничения на наследени системи или оперативни прекъсвания, се изискват компенсиращи контролни мерки, като засилен мониторинг на системите или временни ограничения на достъпа, като всички изключения се одобряват формално от директора по информационна сигурност (CISO) и подлежат на тримесечен преглед. Политиката също така изисква строги програми за обучение и осведоменост за всички потребители, както при въвеждане, така и ежегодно след това. Тези сесии, с повишен фокус за високорискови роли като администратори и ръководители, гарантират, че персоналът може да различава защитени от несигурни канали, разбира фишинг атаки и социално инженерство и правилно използва инструменти за сигурни комуникации. Освен въвеждането, се предоставя целенасочено обучение за потребители с повишени нива на риск, фокусирано върху усъвършенствани механизми за автентикация и специфичните рискове, свързани с аварийните комуникации. За да се гарантира непрекъснато съответствие, се извършват непрекъснат мониторинг на съответствието и ежегоден одит на всички системи за автентикация и комуникации. Всеки потребител, който се опитва да заобиколи политиките или да използва неоторизирани или незащитени методи за комуникация, подлежи на дисциплинарни мерки, включително възможно прекратяване. Екипите по ИТ и информационна сигурност поддържат отговорност за наблюдение на логове и налагане на защитени конфигурации по подразбиране, докато одитните процеси проверяват непрекъснатото съответствие със задължения за съответствие и регулаторни задължения. По този начин политиката предоставя слоест, всеобхватен подход за защита на информационните активи на организацията чрез тясна интеграция на контроли както за сигурни комуникации, така и за автентикация на достъпа, в пълно съответствие с директиви като NIS2, ISO/IEC 27001:2022 и свързани рамки.